mein Browser öffnet immer selbstständig mit lästiger Werbung

#1 Hallo
Seit ein paar Tagen öffnet sich mein Firefox oder mein IE6 von ganz allein und nervt mich mit lästiger Werbung. Ich habe daraufhin versucht, alle Cookies zu löschen, aber das war garnicht so einfach, weil sie nach dem löschen immer wieder kamen. Dann habe ich den IE6 gelöscht. anschließend kamen die gleichen Werbeseiten auf dem Firefox. Dort habe ich ebenfalls die Cookies gelöscht. Dann habe ich versucht, mit Spybot Search & Destroy Verursacher zu finden. Das Programm hat 5 schlechte Dateien gefunnden und unschädlich gemacht. Das eigentliche Problem ist nicht behoben, dafür kann ich jetzt z.B ebay nicht mehr benutzen, weil meine Browser angeblich keine Cookies akzeptieren, obwohl die Einstellungen stimmen.
Hilfe bitte!!!!!!!!!!!!!!!!!!!!!!

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:43:44, on 20.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\little_helper2\little_helper2.exe
C:\Programme\ScanPanel\ScnPanel.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\lotus\organize\easyclip6.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.plus.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\Programme\ScanPanel\ScnPanel.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organize\bandobjs.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.plus.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094228586484
O17 - HKLM\System\CCS\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{09F7E521-F236-4DAD-B2CE-E04B4A876533}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{16933D3E-8F5A-4121-BE59-CA9AB02685D8}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0C9B824-86C4-4074-A003-ADB445A20874}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{DECCFA85-456D-402E-8B6E-557D22221518}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CS1\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CS2\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#2 Hallo@rohntrup

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Kennen Sie die IP oder die Domäne '85.237.87.165,217.20.114.119' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{09F7E521-F236-4DAD-B2CE-E04B4A876533}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{16933D3E-8F5A-4121-BE59-CA9AB02685D8}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0C9B824-86C4-4074-A003-ADB445A20874}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{DECCFA85-456D-402E-8B6E-557D22221518}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CS1\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CS2\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer =

PC neustarten

erstelle , falls du die Eintraege gefixt hast, eine neue Internetverbindung

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!
danke für die schnelle Antwort. Deinen Vorschlag habe ich ausgeführt, leider ohne Erfolg. Ausserdem habe ich mit e-scan einen Check durchgeführt, der aber auch keine Ergebnisse brachte. Was kann man noch tun?
Gruß Rainer

#4 Hallo@rohntrup

was ist das? ist es eine regulaere Softwaere?
O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi Biene,

bin gerade darueber gestolpert, weil in anderem Thread auch den Eintrag hab.
Schau mal hier:
LittleHelper Adware

LG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#6 Hallo zusammen
Ich habe leider das gleiche Problem

Hier ist auch mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:27:11, on 12.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\TELEGEIZ\TELEGEIZ.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE
C:\windows\winsysban7.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ruhe\Ruhe.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\phase6\phase6_V1_5\phase-6.exe
C:\Programme\Trillian\trillian.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\MH\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SOUNDMAN Microsoft Help] soun.pif
O4 - HKLM\..\Run: [hostserv] hostserv.exe
O4 - HKLM\..\Run: [TeleGeiz] C:\PROGRA~1\TELEGEIZ\TELEGEIZ.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [SOUNDMAN Microsoft Help] soun.pif
O4 - HKLM\..\RunServices: [hostserv] hostserv.exe
O4 - HKLM\..\RunServicesOnce: [capscanuninstall] "C:\WINDOWS\command.com" /c del "C:\DOKUME~1\MH\LOKALE~1\Temp\uninstal.exe"
O4 - HKCU\..\Run: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [ufkw] C:\PROGRA~1\GEMEIN~1\ufkw\ufkwm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\phase6_V1_5\WinStart\WinStart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ruhe.lnk = C:\Programme\Ruhe\Ruhe.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\o848lihu1848.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Local Security Authority Server (LSA Server) - Unknown owner - C:\WINDOWS\System32\lsasrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Könnte mir jemand sagen was bei mir die malware sind?

Würde mich auch sehr über Hilfe freuen!
Gruß
MarcusH

#7 MarcusH

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Verzeichnis von C:\WINDOWS\SYSTEM32

13.02.2006 17:58 235.479 guard.tmp
13.02.2006 17:56 235.479 ngapi16.dll
13.02.2006 17:50 233.631 gpl2l33o1.dll
13.02.2006 17:47 2.206 wpa.dbl
12.02.2006 16:30 235.479 dnnu0159e.dll
10.02.2006 21:23 2 stera.job
09.02.2006 20:13 233.484 j24o0ch3ef4.dll
07.02.2006 21:16 15.360 BASSMOD.dll
04.02.2006 12:39 926.241 model.dat
04.02.2006 12:39 53.248 silc_dll.dll
24.01.2006 17:16 121.336 FNTCACHE.DAT
22.01.2006 21:30 8.464 sporder.dll
18.01.2006 13:05 57.344 avsda.dll
01.01.2006 17:07 7.006 jupdate-1.5.0_06-b05.log
28.12.2005 15:40 23.392 nscompat.tlb
28.12.2005 15:40 16.832 amcompat.tlb
28.12.2005 15:40 2.272 w95inf16.dll
28.12.2005 15:40 4.608 w95inf32.dll
24.12.2005 15:13 17.212 SIntf32.dll
24.12.2005 15:13 21.840 SIntfNT.dll
24.12.2005 15:13 12.067 SIntf16.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe


Verzeichnis von C:\DOKUME~1\MH\LOKALE~1\Temp

13.02.2006 17:57 71.680 GLB4.tmp
1 Datei(en) 71.680 Bytes
0 Verzeichnis(se), 3.560.751.104 Bytes frei
(mehr steht da nicht)


Verzeichnis von C:\WINDOWS

13.02.2006 17:56 0 0.log
13.02.2006 17:55 2.048 bootstat.dat
13.02.2006 17:49 0 winsysupd81.dat
13.02.2006 17:49 40 teller2.chk
13.02.2006 17:49 90.112 winsysban8.exe
13.02.2006 17:49 0 winsysupd71.dat
13.02.2006 17:48 36.864 winsysupd8.exe
12.02.2006 15:27 1.125 winamp.ini
10.02.2006 21:22 1.063.483 setupapi.log
10.02.2006 15:25 10.624 EPSTPLOG.TXT
10.02.2006 15:20 19.110 Windows Update.log
10.02.2006 15:18 24.576 gimmygames.exe
09.02.2006 16:28 0 winsysupd61.dat
09.02.2006 16:28 69.632 winsysban7.exe
09.02.2006 16:28 20.480 winsysupd7.exe
08.02.2006 18:15 0 winsysupd51.dat
08.02.2006 18:15 69.632 winsysban6.exe
08.02.2006 18:15 20.480 winsysupd6.exe
07.02.2006 21:43 50 wiaservc.log
07.02.2006 21:43 216 wiadebug.log
07.02.2006 21:22 637 win.ini
07.02.2006 21:13 0 gimmygames1.dat
07.02.2006 21:13 43 drsmartload2.dat
06.02.2006 14:54 25 mixerdef.ini
03.02.2006 12:51 32 wininit.ini
03.02.2006 08:23 183.296 NDNuninstall7_22.exe
22.01.2006 21:28 183.296 NDNuninstall7_14.exe
15.01.2006 19:08 73 ECMM_SAVER.INI
15.01.2006 15:32 172.136 DirectX.log
04.01.2006 19:18 94.636 dropcpyr.dll
04.01.2006 19:18 73.728 copyfstq.exe
02.01.2006 20:55 182.467 setupact.log
01.01.2006 17:07 7.927 mozver.dat
30.12.2005 15:04 100.482 UninstallThunderbird.exe
30.12.2005 14:36 317 SIERRA.INI
28.12.2005 10:14 99.970 UninstallFirefox.exe
19.11.2005 00:12 856 entpack.ini
11.11.2005 21:16 85 CMSurround.ini
11.11.2005 21:15 400 ODBC.INI
05.11.2005 12:39 4.096 d3dx.dat


Verzeichnis von C:\

13.02.2006 18:04 0 sys.txt
13.02.2006 18:03 5.786 system.txt
13.02.2006 18:02 279 systemtemp.txt
13.02.2006 18:00 97.107 system32.txt
13.02.2006 17:55 402.653.184 pagefile.sys
10.02.2006 15:21 24.576 gimmygames.exe
09.02.2006 16:53 49.104 mc-110-12-0000228.exe
28.12.2005 15:36 137 data.fcg
25.12.2005 10:07 2.885 test.spr
22.07.2005 17:55 3.733 WJNG.exe


sollte ich die rot markierten Einträge fixen oder sind die von selber rot geworden(im Log)
liebe Grüße und Danke
MarcusH

#9 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis
http://www.virustotal.com/flash/index_en.html

C:\WJNG.exe

-----------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [SOUNDMAN Microsoft Help] soun.pif
O4 - HKLM\..\Run: [hostserv] hostserv.exe
O4 - HKLM\..\Run: [TeleGeiz] C:\PROGRA~1\TELEGEIZ\TELEGEIZ.EXE
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe
O4 - HKLM\..\RunServices: [SOUNDMAN Microsoft Help] soun.pif
O4 - HKLM\..\RunServices: [hostserv] hostserv.exe
O4 - HKLM\..\RunServicesOnce: [capscanuninstall] "C:\WINDOWS\command.com" /c del "C:\DOKUME~1\MH\LOKALE~1\Temp\uninstal.exe"
O4 - HKCU\..\Run: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [ufkw] C:\PROGRA~1\GEMEIN~1\ufkw\ufkwm.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\o848lihu1848.dll
O23 - Service: Local Security Authority Server (LSA Server) - Unknown owner - C:\WINDOWS\System32\lsasrv.exe (file missing)

----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINDOWS\SYSTEM32\guard.tmp
C:\WINDOWS\SYSTEM32\ngapi16.dll
C:\WINDOWS\SYSTEM32\gpl2l33o1.dll
C:\WINDOWS\SYSTEM32\dnnu0159e.dll
C:\WINDOWS\SYSTEM32\j24o0ch3ef4.dll
C:\WINDOWS\system32\o848lihu1848.dll
C:\WINDOWS\SYSTEM32\model.dat
C:\WINDOWS\command.com
C:\WINDOWS\SYSTEM32\silc_dll.dll
C:\WINDOWS\SYSTEM32\sporder.dll
C:\WINDOWS\SYSTEM32\soun.pif
C:\WINDOWS\SYSTEM32\hostserv.exe
C:\DOKUME~1\MH\LOKALE~1\Temp\uninstal.exe
C:\WINDOWS\winsysupd81.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\winsysban8.exe
C:\WINDOWS\winsysupd71.dat
C:\WINDOWS\winsysupd8.exe
C:\WINDOWS\EPSTPLOG.TXT
C:\WINDOWS\gimmygames.exe
C:\WINDOWS\winsysupd61.dat
C:\WINDOWS\winsysban7.exe
C:\WINDOWS\winsysupd7.exe
C:\WINDOWS\winsysupd51.dat
C:\WINDOWS\winsysban6.exe
C:\WINDOWS\winsysupd6.exe
C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\NDNuninstall7_22.exe
C:\WINDOWS\NDNuninstall7_14.exe
C:\gimmygames.exe
C:\mc-110-12-0000228.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

deinstalliere/loesche:
C:\Programme\TheSearchAccelerator

loeschen:
C:\Programme\Gemeinsame Dateien\ufkw

l2mfix --> arbeite Option 2 ab--> poste nach Neustart+ Scan den scanreport
http://virus-protect.org/l2mfix.html

dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo,
den Browser Selbständigkeitsdrang, lästige Werbung aufzupeppen hatte ich auch bis gestern. Nach guten durchlesen hier im Forum bin ich wie folgt vorgegangen:

in abgesicherten MODUS Ad-Aware, TrendMicro Anti-Spyware und ClearProg ausgeführt und zu einem früheren Wiederherstellungspunkt hochfahren lassen. Es scheint, noch alles i. O. zu sein. Was mir allerdings noch ein bisschen die Freude auf erfolg trübt ist das gleiche Log file von Hijackthis und das einige Dateien nicht mehr zu finden sind. Leider funktioniert der Link zu Selbst-Auswertung des Log file´s hier in dem Forum nicht, deswegen ich auch hier um eure Hilfe bitte!
Vielleicht noch der Hinweis, dass die oder der Winlogon wehrend des Male / Spyware- Befalls Fehlermeldungen aufpeppte.

Danke für eure Mühe im Voraus!!

Logfile of HijackThis v1.99.1
Scan saved at 6:09:19 pµ, on 14/2/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cJPCSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\EPoX\Hid2Hci Tray\HciTray.exe
C:\Programme\Trend Micro\Tmas\Tmas.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Tcpview.exe
G:\WINXP\Analyse-Tools\Sicherheit\HiJack\HijackThis.exe

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [MOD] C:\Programme\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1136505242249
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\guard.tmp (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\system32\cJPCSC.exe
O23 - Service: GFI LANguard N.S.S. 5.0 attendant service - Unknown owner - C:\Programme\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe" -service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: GFI LANguard N.S.S. Scheduled Scans Service (lnss_sscans) - GFI Software Ltd. - C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PestPatrol Remote - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

#11 Lore

Zitat

O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\guard.tmp (file missing)

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo,

herzlichen Dank für die schnelle Antwort und Hilfestellung. Das ist wirklich klasse!

Logfile der Bat:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C6F-CA0D

Verzeichnis von C:\WINDOWS\system32

14/02/2006 02:46 ææ 17.112 nvapps.xml
14/02/2006 02:46 ææ 36.630 nvModes.001
14/02/2006 01:10 ææ 496.450 perfh009.dat
14/02/2006 01:10 ææ 555.980 perfh007.dat
14/02/2006 01:10 ææ 132.968 perfc009.dat
14/02/2006 01:10 ææ 155.940 perfc007.dat
14/02/2006 01:10 ææ 2.656 PerfStringBackup.INI
14/02/2006 02:53 pæ 235.838 axvpack.dll
14/02/2006 02:42 pæ 235.838 mytime.dll
14/02/2006 01:40 pæ 25.088 Thumbs.db
14/02/2006 01:36 pæ 2.206 wpa.dbl
14/02/2006 12:00 pæ 234.013 i4060edseh060.dll
13/02/2006 11:50 ææ 2.150 tmmute.ini
13/02/2006 08:59 ææ 236.761 mjmefilt.dll
13/02/2006 07:35 ææ 234.538 mkwebdvd.dll
13/02/2006 07:30 ææ 236.761 irr4l59q1.dll
13/02/2006 07:30 ææ 234.911 svbrccsp.dll
13/02/2006 07:17 ææ 234.538 eosadu.dll
13/02/2006 07:09 ææ 234.538 devx_xx07.dll
13/02/2006 06:07 ææ 236.438 lv2809fue.dll
27/01/2006 12:05 pæ 7.006 jupdate-1.5.0_06-b05.log
26/01/2006 11:33 ææ 43.254 oemlogo.bmp
26/01/2006 09:41 ææ 20.006 eule.jpg
26/01/2006 09:20 ææ 320 OEMINFO.INI
26/01/2006 08:23 ææ 31.020 eule_index.jpg
05/01/2006 04:41 pæ 2.836.320 MRT.exe
29/12/2005 05:17 ææ 56 66650F0E31.sys
29/12/2005 03:54 pæ 280.064 gdi32.dll
14/12/2005 09:24 pæ 118.784 sirenacm.dll
01/12/2005 04:31 pæ 1.492.480 shdocvw.dll
27/11/2005 12:37 ææ 5.618 jupdate-1.5.0_05-b05.log
24/11/2005 12:58 pæ 1.022.464 browseui.dll
24/11/2005 12:58 pæ 3.013.632 mshtml.dll
16/11/2005 04:31 ææ 36.630 nvModes.dat
11/11/2005 11:58 pæ 11.322 KGyGaAvL.sys
11/11/2005 11:24 pæ 178.648 FNTCACHE.DAT
10/11/2005 01:03 ææ 127.078 javaws.exe
10/11/2005 01:03 ææ 49.265 jpicpl32.cpl
10/11/2005 11:27 pæ 49.250 javaw.exe
10/11/2005 11:27 pæ 49.248 java.exe
05/11/2005 04:16 pæ 606.208 urlmon.dll
05/11/2005 04:16 pæ 1.056.256 danim.dll


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C6F-CA0D

Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C6F-CA0D

Verzeichnis von C:\WINDOWS

14/02/2006 02:45 ææ 1.554.303 WindowsUpdate.log
14/02/2006 02:45 ææ 159 wiadebug.log
14/02/2006 02:45 ææ 50 wiaservc.log
14/02/2006 02:45 ææ 0 0.log
14/02/2006 02:45 ææ 2.048 bootstat.dat
14/02/2006 02:44 ææ 32.598 SchedLgU.Txt
14/02/2006 02:56 pæ 452.392 ntbtlog.txt
14/02/2006 01:18 pæ 19.456 Thumbs.db
14/02/2006 01:17 pæ 26 Lic.xxx
13/02/2006 07:42 ææ 1.186.325 setupapi.log
13/02/2006 07:08 ææ 633 win.ini
13/02/2006 07:08 ææ 237 system.ini
13/02/2006 02:33 ææ 446 lexstat.ini
13/02/2006 12:10 ææ 0 winsysupd71.dat
13/02/2006 12:09 ææ 0 winsysupd81.dat
13/02/2006 12:09 ææ 90.112 winsysban8.exe
13/02/2006 12:09 ææ 36.864 winsysupd8.exe
11/02/2006 06:44 ææ 2.003 wincmd.ini
11/02/2006 06:12 ææ 830 wcx_ftp.ini
11/02/2006 05:02 ææ 24.576 gimmygames.exe
11/02/2006 05:02 ææ 0 myupdates1.dat
11/02/2006 05:02 ææ 43 drsmartload2.dat
11/02/2006 05:02 ææ 69.632 winsysban7.exe
11/02/2006 05:02 ææ 0 gimmygames1.dat
11/02/2006 05:01 ææ 20.480 winsysupd7.exe
09/02/2006 12:07 ææ 122.907 wmsetup.log
27/01/2006 04:11 pæ 9 tracert.lo_
27/01/2006 04:11 pæ 1.464 tracert.log
26/01/2006 05:13 ææ 949 nsw.log
26/01/2006 04:41 ææ 3.274 ModemLog_Intracom NetMod USB ver 3.02.txt
26/01/2006 01:09 ææ 952.746 iis6.log
26/01/2006 01:09 ææ 211.738 comsetup.log
26/01/2006 01:09 ææ 138.819 ntdtcsetup.log
26/01/2006 01:09 ææ 313.298 tsoc.log
26/01/2006 01:09 ææ 28.839 tabletoc.log
26/01/2006 01:09 ææ 31.922 ocmsn.log
26/01/2006 01:09 ææ 4.696 imsins.log
26/01/2006 01:09 ææ 34.717 medctroc.Log
26/01/2006 01:09 ææ 398.428 ocgen.log
26/01/2006 01:09 ææ 33.634 msgsocm.log
26/01/2006 01:09 ææ 698.669 FaxSetup.log
26/01/2006 01:09 ææ 109.474 netfxocm.log
26/01/2006 01:09 ææ 246.054 msmqinst.log
23/01/2006 03:02 pæ 33 wininit.ini
22/01/2006 04:58 ææ 155 winamp.ini
16/01/2006 04:53 ææ 349 ulead32.ini
11/01/2006 01:06 ææ 1.374 imsins.BAK
11/01/2006 01:06 ææ 11.182 KB908519.log
07/01/2006 02:23 ææ 11.040 KB912919.log
07/01/2006 02:23 ææ 21.437 updspapi.log
05/01/2006 02:46 pæ 10.413 KB910437.log
05/01/2006 02:46 pæ 16.391 KB905915.log
28/12/2005 10:09 ææ 0 OpPrintServer.INI
28/12/2005 09:57 ææ 3.259 EPSTPLOG.BAK
28/12/2005 09:57 ææ 1.948 Windows Update.log
28/12/2005 09:50 ææ 25 CDER300Euro.ini
14/12/2005 03:20 ææ 1.647 ip.log
14/12/2005 03:20 ææ 9 ip.lo_
09/12/2005 12:15 pæ 184.922 setupact.log
07/12/2005 02:58 pæ 1.127.882 _detmp.1
22/11/2005 01:10 pæ 8.146 fsbwinst.log
22/11/2005 01:05 pæ 10.539 Q-Klez.log
22/11/2005 01:00 pæ 1.122 Active Setup Log.txt
22/11/2005 01:00 pæ 1.122 Active Setup Log.BAK
22/11/2005 12:51 pæ 3.902 ModemLog_Conexant D480 MDC V.92 Modem.txt
11/11/2005 11:22 pæ 11.841 KB896424.log


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C6F-CA0D

Verzeichnis von C:\

14/02/2006 03:06 ææ 0 sys.txt
14/02/2006 03:03 ææ 12.958 system.txt
14/02/2006 03:02 ææ 352 systemtemp.txt
14/02/2006 02:58 ææ 125.413 system32.txt
14/02/2006 02:44 ææ 268.435.456 pagefile.sys
14/02/2006 01:16 pæ 2 AVPCallback.log
13/02/2006 07:08 ææ 211 boot.ini
11/02/2006 04:38 ææ 16 UsageTrack.txt
03/02/2006 10:07 ææ 207 IPH.PH
01/02/2006 07:10 ææ 363.105 treeinfo.wc
09/12/2005 02:09 ææ 192 BcBtRmv.log
03/12/2005 03:15 pæ 5.120 Thumbs.db
14/02/2006 02:56 ææ 206 jusched.log
14/02/2006 02:48 ææ 16.384 Perflib_Perfdata_e3c.dat
2 Datei(en) 16.590 Bytes
0 Verzeichnis(se), 1.112.002.560 Bytes frei



liebe Grüße

Lore

#13 Lore

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINDOWS\system32\axvpack.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\mytime.dll
C:\WINDOWS\system32\i4060edseh060.dll
C:\WINDOWS\system32\tmmute.ini
C:\WINDOWS\system32\mjmefilt.dll
C:\WINDOWS\system32\mkwebdvd.dll
C:\WINDOWS\system32\irr4l59q1.dll
C:\WINDOWS\system32\svbrccsp.dll
C:\WINDOWS\system32\eosadu.dll
C:\WINDOWS\system32\devx_xx07.dll
C:\WINDOWS\system32\lv2809fue.dll

C:\WINDOWS\winsysupd71.dat
C:\WINDOWS\winsysupd81.dat
C:\WINDOWS\winsysban8.exe
C:\WINDOWS\winsysupd8.exe
C:\WINDOWS\gimmygames.exe
C:\WINDOWS\myupdates1.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\winsysban7.exe
C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\winsysupd7.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

l2mfix --> arbeite Option 2 ab--> poste nach Neustart+ Scan den scanreport
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina,

Habe Kilbox ausgeführt und bei den Dateien:

C:\WINDOWS\gimmygames.exe
C:\WINDOWS\winsysban7.exe
C:\WINDOWS\winsysupd7.exe

Kamm immer eine akustische Warnung von Kaspersky.

Nach dem Neustart waren die .exe Dateien immer noch da worauf ich versucht habe Kilbox erneut auszuführen. Beim klick auf reboot kamm folgende Fehlermeldung:

PendingFileRenameOperations Registry Data has been Removed by External Process!

Weiterhinm, …habe versucht rauszubekommen was Option 2 bedeutet beim Zitat?:

„l2mfix --> arbeite Option 2 ab--> poste nach Neustart+ Scan den scanreport“

Nach nun mehr als 14 std. suche nach einer Lösung kann ich verstehen wie Anstrengend das hier für einen Moderator sein kann und möchte mich hier noch mal für die vorangehende und kommende(n) Mühe Bedanken.

Ps: solange mein Rechner nicht „sicher“ ist traue ich mich nicht irgendwelche Bankgeschäfte wie z.B.: PayPal oder ähnliches zu tätigen!

Gruß

Lore


Hallo Sabina,

ok, das war also Option 2:

Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --- [Enter].

--------------------------------------------------------------------------------------------------------------------------------

L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgef�hrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 812 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1068 'winlogon.exe'
Killing PID 1068 'winlogon.exe'
Killing PID 1068 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2572 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2984 'rundll32.exe'
Killing PID 3248 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SMDEn]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\guard.tmp"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}\InprocServer32]
@="C:\\WINDOWS\\system32\\umrvpa.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}\InprocServer32]
@="C:\\WINDOWS\\system32\\PkpX.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}\InprocServer32]
@="C:\\WINDOWS\\system32\\CRPCSCKV.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}\InprocServer32]
@="C:\\WINDOWS\\system32\\svbrccsp.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}\InprocServer32]
@="C:\\WINDOWS\\system32\\mkwebdvd.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{B3147636-13A7-4C4D-BE62-126A7C11A4F7}"=-
"{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}"=-
"{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}"=-
"{F0A69448-EF94-428A-891C-C30D0FB0D6CE}"=-
"{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}"=-
"{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}"=-
[-HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}]
[-HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}]
[-HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}]
[-HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}]
[-HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}]
[-HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
zip warning: name not matched: dlls\*.*

zip error: Nothing to do! (backup.zip)
adding: backregs/440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A.reg (208 bytes security) (deflated 70%)
adding: backregs/9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1.reg (208 bytes security) (deflated 71%)
adding: backregs/99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1.reg (208 bytes security) (deflated 70%)
adding: backregs/9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8.reg (208 bytes security) (deflated 70%)
adding: backregs/B3147636-13A7-4C4D-BE62-126A7C11A4F7.reg (208 bytes security) (deflated 69%)
adding: backregs/F0A69448-EF94-428A-891C-C30D0FB0D6CE.reg (208 bytes security) (deflated 70%)
adding: backregs/notibac.reg (208 bytes security) (deflated 73%)
adding: backregs/shell.reg (208 bytes security) (deflated 72%)


Gruß

Lore

#15 L2mfix 010406
Creating Account.
Das Konto existiert bereits.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2224 eingeben.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!


Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 548 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 636 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 128 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 952 'rundll32.exe'
Killing PID 1504 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
Deleting: C:\WINDOWS\system32\cqrsrv.dll
Successfully Deleted: C:\WINDOWS\system32\cqrsrv.dll
Deleting: C:\WINDOWS\system32\jrl0253mg.dll
Successfully Deleted: C:\WINDOWS\system32\jrl0253mg.dll
Deleting: C:\WINDOWS\system32\m8po0i73e8.dll
Successfully Deleted: C:\WINDOWS\system32\m8po0i73e8.dll
Deleting: C:\WINDOWS\system32\guard.tmp
Successfully Deleted: C:\WINDOWS\system32\guard.tmp

msg11?.dll
0 Datei(en) kopiert.
Desktop.ini sucessfully removed




Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\m8po0i73e8.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\cqrsrv.dll
C:\WINDOWS\system32\jrl0253mg.dll
C:\WINDOWS\system32\m8po0i73e8.dll
C:\WINDOWS\system32\guard.tmp

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\InprocServer32]
@="C:\\WINDOWS\\system32\\cqrsrv.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\InprocServer32]
@="C:\\WINDOWS\\system32\\cqrsrv.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{B4AD2AA8-BC3F-459A-94BB-309553B3491E}"=-
[-HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
****************************************************************************
Desktop.ini Contents:
****************************************************************************
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/cqrsrv.dll (deflated 5%)
adding: dlls/jrl0253mg.dll (deflated 5%)
adding: dlls/m8po0i73e8.dll (deflated 5%)
adding: dlls/guard.tmp (deflated 5%)
adding: backregs/notibac.reg (deflated 87%)
adding: backregs/shell.reg (deflated 73%)
adding: backregs/B4AD2AA8-BC3F-459A-94BB-309553B3491E.reg (deflated 70%)



soll ich alle dateien im ordner !killbox löschen oda nur bestimmte??? Danke noch einmal für die hilfe bis hier und weiter!!
mfg MarcusH
__________________________________________________________________
EDIT:
Hallo
Ich hab grade eben den Computer länger an gehabt und bemerkt: es ist weg, es öffnen sich keine lästigen fenster mehr! Also danke Sabina wenn ich noch mal fragen zum Computer habe werde ich auf jedenfall wieder hier fragen.
Gruß
MarcusH