"Your computer is infected!" Windows has detected spyware infection!

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.11.2005, 20:49
...neu hier

Beiträge: 5
#1 Hallo zusammen !!!

Seit ein paar Stunden überrascht mich ein roter Kreis mit weissem Kreuz in meiner Uhrleiste und berichtet mir, dass mein Computer infiziert sei.
Gibt es eine Abhilfe ohne dass ich den Computer neu installieren muss.

Danke für die Hilfe.

JODI
Seitenanfang Seitenende
22.11.2005, 21:19
Member

Beiträge: 239
#2 Hallo, lade dir das Tool AdAware und Spybot und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware und Spybot laden.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.
Seitenanfang Seitenende
23.11.2005, 01:56
...neu hier

Beiträge: 1
#3 Hallo! ich habe genau das gleiche Problem -glaube ich-

außerdem wurde meine startseite im IE zu www.updateyoursystem.com umgeändert.

ich hatte dazu erst was in englischen foren gelesen und hab deshal, hijack, spybot, ad awere und cwsshredder runtergeladen.

hab die progarmme durchgejagt und auch was gefunden und gelöscht, dazu hab ich alle temp, cookies und temporary internet files gelöscht.

jetzt finden all die programme keinen virus etc mehr und das problem mit der startseite ist auch gelöst.

aber genau dieses pop up in der taskleiste das ständig sagt : Your comupter is infected! will nicht weggehen. ich denke ma das is ein fake ding vom trojaner.

ich hab auch schon irgendwo gefunden dass jemand das problem lösen konnte in dem er nvctrl.exe und mssearchnet.exe gelöscht hat.

das hab ich dann auch gemacht. hat aber nix genützt..

freu mich echt riesig wenn mir jemand sagen kann wie ich diese blöde meldung weg bekomme!!

hier das was mir der hijack ausspuckt (ich hab leider keine ahnung von sowas ;)


Logfile of HijackThis v1.99.1
Scan saved at 01:10:19, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\André\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


schönen dank dann!

andre
Seitenanfang Seitenende
25.01.2006, 00:23
...neu hier

Beiträge: 1
#4 Hallo!
Bei mir ist es ganz genau das gleiche Problem, ich hab antivir und ad-aware usw drüber laufen lassen aber weder die blöde startseite noch das symbol mit dem weißen kreuz verschwinden. Ich habe einige Dateien gefunden die daran schuld sein könnten, aber ich kann die natürlich nicht löschen.....wie werd ich den Schei... blos wieder los? Bitte helft mir!
Gruß Chris
Seitenanfang Seitenende
25.01.2006, 19:03
...neu hier

Beiträge: 1
#5 Hi Leute.... hatte bis heute nachmittag das selbe Problem
und es lösen können

Schaut mal bitte aufaufwerk C:\ und seht nach ob sich dort eine Wininstall.exe befindet....

wenn ja, bitte in den Taskt-Manager mit Strg+Alt+Entf

Prozesse -in der Spalte, Name nach der wininstall.exe suchen

in der Spalte Benutzername wird euer Computername angegeben, disen Prozess beenden und auch mit ja bestätigen !!!

dann könnt ihr die Winninstall.exe auf C:\ Löschen !! Soo ganz wichtig besorgt und installiert euch das kostenlose Tool RegCleaner [/img]http://www.chip.de/downloads/c1_downloads_12991462.html
Programm starten, in den optionen noch die sprache wählen.....
Nun auf das blau hinterlegte Feld AUTOSTART, dort wieder nach dem Dateinamen Wininstall.exe suchen und makieren, untenrechts auf Makierte entfernen klicken. Das blau hinterlegte Feld SICHERUNG anklicken und unten Makierte enfernen. damit wird auch der RegestrirungsKEY gelöscht

:-) Nun hoffe ich konnte euch helfen und ihr habt ruhe vorallem nicht mehr den gedanken eine Neuinstallation zu machen....

Gruß Ole
[/i]
Seitenanfang Seitenende
25.01.2006, 19:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Herr Kömmlic

da ist normalerweise mehr, als diese exe auf dem System

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 12:18
...neu hier

Beiträge: 6
#7 hi hab seit gestern das gleiche problem

habe jetzt schon die ersten 3 empfohlenen Schritte gemacht und poste euch jetzt die logfile vom hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:14:11, on 28.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\wmedia32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\winstall.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Neuer Ordner (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h
O17 - HKLM\Software\..\Telephony: DomainName = h
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = h
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich wäre echt dankbar wenn ihr mir helfen könntet

Viele Grüße Daniel
Seitenanfang Seitenende
28.01.2006, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 DanielPH

Parameters: Domain = h --> ist das deine korrekte Domain ???
-------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\System32\sw20.exe
C:\WINDOWS\System32\sw24.exe
C:\WINDOWS\System32\wmedia32.exe

--------------------------------------------------------------------------
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 16:31
...neu hier

Beiträge: 6
#9 hallöle
hier sind die Ergebnisse vom Virus Total:

This is a report processed by VirusTotal on 01/28/2006 at 16:25:04 (CET) after scanning the file "sw20.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 no virus found
Avast 4.6.695.0 01.27.2006 no virus found
AVG 718 01.27.2006 no virus found
Avira 6.33.0.81 01.27.2006 no virus found
BitDefender 7.2 01.28.2006 no virus found
CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 no virus found
eTrust-InoculateIT 23.71.62 01.28.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 no virus found
Ewido 3.5 01.28.2006 no virus found
Fortinet 2.54.0.0 01.28.2006 no virus found
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.28.2006 no virus found
McAfee 4684 01.27.2006 no virus found
NOD32v2 1.1385 01.28.2006 no virus found
Norman 5.70.10 01.27.2006 no virus found
Panda 9.0.0.4 01.28.2006 no virus found
Sophos 4.02.0 01.28.2006 no virus found
Symantec 8.0 01.28.2006 no virus found
TheHacker 5.9.3.082 01.27.2006 no virus found
UNA 1.83 01.27.2006 no virus found
VBA32 3.10.5 01.28.2006 no virus found

This is a report processed by VirusTotal on 01/28/2006 at 16:28:20 (CET) after scanning the file "sw24.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 no virus found
Avast 4.6.695.0 01.27.2006 no virus found
AVG 718 01.27.2006 no virus found
Avira 6.33.0.81 01.27.2006 no virus found
BitDefender 7.2 01.28.2006 no virus found
CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 no virus found
eTrust-InoculateIT 23.71.62 01.28.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 no virus found
Ewido 3.5 01.28.2006 no virus found
Fortinet 2.54.0.0 01.28.2006 no virus found
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.28.2006 no virus found
McAfee 4684 01.27.2006 no virus found
NOD32v2 1.1385 01.28.2006 no virus found
Norman 5.70.10 01.27.2006 no virus found
Panda 9.0.0.4 01.28.2006 no virus found
Sophos 4.02.0 01.28.2006 no virus found
Symantec 8.0 01.28.2006 no virus found
TheHacker 5.9.3.082 01.27.2006 no virus found
UNA 1.83 01.27.2006 no virus found
VBA32 3.10.5 01.28.2006 no virus found

This is a report processed by VirusTotal on 01/28/2006 at 16:31:13 (CET) after scanning the file "wmedia32.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 TR/Spy.Banker.arm
Avast 4.6.695.0 01.27.2006 no virus found
AVG 718 01.27.2006 I-Worm/Locksky
Avira 6.33.0.81 01.27.2006 TR/Spy.Banker.arm
BitDefender 7.2 01.28.2006 Trojan.Banker.Gbot.A

CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 Trojan.DownLoader.6480
eTrust-InoculateIT 23.71.62 01.28.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 no virus found
Ewido 3.5 01.28.2006 Logger.Banker.arm
Fortinet 2.54.0.0 01.28.2006 W32/Locksky.M-mm
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.28.2006 Trojan-Spy.Win32.Banker.arm
McAfee 4684 01.27.2006 W32/Loosky.gen@MM
NOD32v2 1.1385 01.28.2006 probably unknown NewHeur_PE virus
Norman 5.70.10 01.27.2006 no virus found
Panda 9.0.0.4 01.28.2006 Trj/Banker.BWV

Sophos 4.02.0 01.28.2006 no virus found
Symantec 8.0 01.28.2006 no virus found
TheHacker 5.9.3.082 01.27.2006 W32/Loosky.GEN@MM
UNA 1.83 01.27.2006 I-Worm.Locksky
VBA32 3.10.5 01.28.2006 Trojan-Spy.Win32.Banker.arm


Danke nochmal

Daniel
...und anschliessend noch vom datfind.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04EE-EB5C

Verzeichnis von C:\WINDOWS\system32

28.01.2006 12:44 29.282 nvapps.xml
28.01.2006 12:07 34.257 vsconfig.xml
27.01.2006 19:13 2.422 wpa.dbl
27.01.2006 18:52 5.120 paytime.exe
27.01.2006 18:42 45.110 wmedia32.exe

14.12.2005 00:24 118.784 sirenacm.dll
28.11.2005 20:00 5.618 jupdate-1.5.0_05-b05.log
14.11.2005 23:00 23.392 nscompat.tlb
14.11.2005 23:00 16.832 amcompat.tlb
13.11.2005 15:12 2.422 wpa.bak
31.10.2005 21:46 98.304 CmdLineExt.dll
31.10.2005 13:34 4.212 zllictbl.dat
30.10.2005 11:45 311.604 perfh009.dat
30.10.2005 11:45 39.992 perfc009.dat
30.10.2005 11:45 316.594 perfh007.dat
30.10.2005 11:45 48.156 perfc007.dat
30.10.2005 11:45 723.744 PerfStringBackup.INI
16.10.2005 21:14 18.253 ssnvfx.ini
13.10.2005 22:15 90.296 FNTCACHE.DAT
09.10.2005 22:30 0 h323log.txt
09.10.2005 21:46 25.065 wmpscheme.xml
09.10.2005 21:36 386 $winnt$.inf
09.10.2005 21:35 2.951 CONFIG.NT
09.10.2005 21:34 488 WindowsLogon.manifest
09.10.2005 21:34 488 logonui.exe.manifest
09.10.2005 21:34 749 nwc.cpl.manifest
09.10.2005 21:34 749 wuaucpl.cpl.manifest
09.10.2005 21:34 749 ncpa.cpl.manifest
09.10.2005 21:34 749 sapi.cpl.manifest
09.10.2005 21:34 749 cdplayer.exe.manifest
09.10.2005 21:33 21.740 emptyregdb.dat




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04EE-EB5C

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

28.01.2006 15:23 1.691 ErronousFilesFoundDuringScan.txt
28.01.2006 15:14 0 CacheInfo.dnl

28.01.2006 12:08 16.384 ~DFC587.tmp
28.01.2006 12:08 618 jusched.log
27.01.2006 19:47 16.384 ~DF7B52.tmp
27.01.2006 19:40 16.384 ~DF9818.tmp
27.01.2006 19:36 16.384 ~DF9DD5.tmp
12.10.2004 11:14 57.344 InstHelp.dll
8 Datei(en) 125.189 Bytes
0 Verzeichnis(se), 8.776.130.560 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04EE-EB5C

Verzeichnis von C:\WINDOWS

28.01.2006 14:02 701 wiadebug.log
28.01.2006 13:50 116 NeroDigital.ini
28.01.2006 12:07 0 0.log
28.01.2006 12:07 50 wiaservc.log
28.01.2006 12:06 2.048 bootstat.dat
27.01.2006 19:44 29.676 SchedLgU.Txt
27.01.2006 18:42 1.999 desktop.html
27.01.2006 18:42 31.744 tool2.exe
27.01.2006 18:42 0 uniq

27.01.2006 18:31 990.543 setupapi.log
25.01.2006 17:05 0 OpPrintServer.INI
25.01.2006 15:26 1.127.819 WindowsUpdate.log
18.01.2006 18:36 120.636 wmsetup.log
14.12.2005 18:31 167.000 setupact.log
08.12.2005 21:04 478 eReg.dat
14.11.2005 23:01 324 wmsetup10.log
14.11.2005 22:59 524 win.ini
14.11.2005 22:59 316.640 WMSysPr9.prx
13.11.2005 15:12 828.483 setuplog.txt
13.11.2005 13:17 5.864 ModemLog_Standard 56000 bps Modem #2.txt
09.11.2005 18:16 364.284 DirectX.log
09.11.2005 18:00 11.577 ntdtcsetup.log
09.11.2005 18:00 22.060 comsetup.log
09.11.2005 18:00 3.611 iis6.log
09.11.2005 18:00 1.374 imsins.log
09.11.2005 18:00 6.151 KB893803v2.log
09.11.2005 18:00 15.387 tsoc.log
09.11.2005 18:00 1.701 ocmsn.log
09.11.2005 18:00 22.072 ocgen.log
09.11.2005 18:00 1.742 msgsocm.log
09.11.2005 18:00 30.086 FaxSetup.log
05.11.2005 17:47 16 wininit.ini
01.11.2005 16:43 7.093 KB893803.log
01.11.2005 16:43 1.374 imsins.BAK
26.10.2005 17:10 86 ke.log
23.10.2005 19:10 5.864 ModemLog_Standard 56000 bps Modem.txt
14.10.2005 14:23 9.508 Windows Update.log
14.10.2005 14:05 0 msicpl.ini
13.10.2005 22:16 1.165 OEWABLog.txt
13.10.2005 22:15 175.491 svcpack.log
12.10.2005 22:18 54 nsw.log
12.10.2005 21:53 1.399 avmsetup.log
12.10.2005 21:53 25 accessdll.log
10.10.2005 18:11 682 avmadd32.log
09.10.2005 22:28 0 Sti_Trace.log
09.10.2005 22:27 1.348 regopt.log
09.10.2005 22:27 231 system.ini
09.10.2005 22:26 0 setuperr.log
09.10.2005 21:37 8.192 REGLOCS.OLD
09.10.2005 21:35 0 control.ini
09.10.2005 21:35 299.552 WMSysPrx.prx
09.10.2005 21:34 4.161 ODBCINST.INI
09.10.2005 21:34 749 WindowsShell.Manifest
09.10.2005 21:32 37 vbaddin.ini
09.10.2005 21:32 36 vb.ini
09.10.2005 21:32 128 DtcInstall.log
09.10.2005 21:32 1.060 sessmgr.setup.log
29.08.2005 18:09 59.144 zllsputility.exe





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04EE-EB5C

Verzeichnis von C:\

28.01.2006 16:42 0 sys.txt
28.01.2006 16:41 5.054 system.txt
28.01.2006 16:40 660 systemtemp.txt
28.01.2006 16:39 93.293 system32.txt
28.01.2006 12:08 53 biosinfo
28.01.2006 12:08 833 msicpl-getdispinfo.log
28.01.2006 12:08 164 msicpl-getdataint.log
28.01.2006 12:06 1.609.797.632 pagefile.sys
13.10.2005 22:14 47.580 NTDETECT.COM
13.10.2005 22:14 235.296 ntldr
09.10.2005 21:35 0 IO.SYS
09.10.2005 21:35 0 MSDOS.SYS
09.10.2005 21:35 0 CONFIG.SYS
09.10.2005 21:35 0 AUTOEXEC.BAT
09.10.2005 21:30 194 boot.ini

DAAAAAAAAAANKE!!!!!!!!!!!!!!!
Dieser Beitrag wurde am 28.01.2006 um 16:37 Uhr von DanielPH editiert.
Seitenanfang Seitenende
28.01.2006, 17:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

poste das komplette Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 17:33
...neu hier

Beiträge: 6
#11 Hi
Danke hier sind die Daten:

01/28/06 17:37:35 [Info]: BlackLight Engine 1.0.30 initialized
01/28/06 17:37:35 [Info]: OS: 5.1 build 2600 (Service Pack 1)
01/28/06 17:37:35 [Note]: 7019 4
01/28/06 17:37:35 [Note]: 7005 0
01/28/06 17:37:40 [Note]: 7006 0
01/28/06 17:37:40 [Note]: 7011 1116
01/28/06 17:37:40 [Note]: FSRAW library version 1.7.1014
01/28/06 17:38:04 [Note]: 7007 0

Das mit dem silent runner haut net hin
da kommt ne Meldung das der Zugriff auf Windows script host deaktiviert wurde...
???

Danke nochmal

Grüße Daniel
Seitenanfang Seitenende
28.01.2006, 19:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wahrscheinlich kannst du den host wieder mit xpantispy aktivieren.
falls nicht:
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 21:02
...neu hier

Beiträge: 6
#13 Hi Sabina

ging leider nicht mit antispy
aber dafür das andere Programm:


WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
aspack 18.03.2005 17:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll
aspack 26.05.2005 15:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll
PEC2 18.08.2001 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 29.08.2002 11:43:28 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
UPX! 27.01.2006 18:43:00 45110 C:\WINDOWS\SYSTEM32\wmedia32.exe

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
28.01.2006 12:06:56 S 2048 C:\WINDOWS\bootstat.dat
28.01.2006 12:07:26 H 34257 C:\WINDOWS\system32\vsconfig.xml
28.01.2006 21:09:16 H 1024 C:\WINDOWS\system32\config\default.LOG
28.01.2006 21:05:04 H 1024 C:\WINDOWS\system32\config\SAM.LOG
28.01.2006 12:17:04 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
28.01.2006 21:07:26 H 1024 C:\WINDOWS\system32\config\software.LOG
28.01.2006 21:07:08 H 1024 C:\WINDOWS\system32\config\system.LOG
12.01.2006 23:06:16 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\d201c6d1-815d-4e60-b9c6-fee7279a05bd
12.01.2006 23:06:16 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
28.01.2006 12:06:56 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 18.08.2001 13:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 29.08.2002 11:43:42 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 29.08.2002 11:43:42 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 18.08.2001 13:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 11:43:42 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29.08.2002 11:43:42 125440 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 11:43:42 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 26.08.2005 18:14:42 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 18.08.2001 13:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 18.08.2001 13:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
02.08.2005 15:35:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 18.08.2001 13:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 18.08.2001 13:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
NVIDIA Corporation 17.12.2003 17:52:08 R 73728 C:\WINDOWS\SYSTEM32\sscpl.cpl
Microsoft Corporation 29.08.2002 11:43:42 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 18.08.2001 13:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 13:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 18.08.2001 13:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 29.08.2002 03:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 13:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 13:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 13:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 18.08.2001 13:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 18.08.2001 13:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
09.10.2005 21:35:12 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
26.10.2005 17:10:28 1610 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
09.10.2005 22:27:08 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
09.10.2005 21:35:12 HS 84 C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
09.10.2005 22:27:08 HS 62 C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\desktop.ini
27.01.2006 18:42:54 2140819 C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Install.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ZLAVShExt
{D9872D13-7651-4471-9EEE-F0A00218BEBB} = C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ZLAVShExt
{D9872D13-7651-4471-9EEE-F0A00218BEBB} = C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Ptipbmf rundll32.exe ptipbmf.dll,SetWriteCacheMode
LiveMonitor C:\Programme\MSI\Live Update 3\LMonitor.exe
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
SW20 C:\WINDOWS\System32\sw20.exe
SW24 C:\WINDOWS\System32\sw24.exe
Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
nForce Tray Options sstray.exe /r
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
mmtask c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
MMTray C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
NWEReboot
CloneCDTray "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
WMedia32 wmedia32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
Steam "d:\programme\valve\steam\steam.exe" -silent
Windows installer C:\winstall.exe
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallpaper 0
NoComponents 0
NoAddingComponents 0
NoDeletingComponents 0
NoEditingComponents 0
NoHTMLWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktop 0
ClassicShell 0
ForceActiveDesktopOn 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
Wallpaper C:\WINDOWS\desktop.html


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 28.01.2006 21:09:22


Grüße Daniel
Seitenanfang Seitenende
28.01.2006, 22:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 DanielPH

du hast mir noch nicht gesagt, ob dir diese Domain bekannt ist:

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h
-----------------------------------------------------------------------------

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
Wallpaper C:\WINDOWS\desktop.html<--loeschen

----------------------------------------------------------------------
loesche:--> kannst du mit der killbox machen http://virus-protect.org/killbox.html

C:\WINDOWS\SYSTEM32\wmedia32.exe
C:\winstall.exe
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Install.dat
C:\WINDOWS\desktop.html
C:\WINDOWS\tool2.exe
C:\WINDOWS\uniq
C:\WINDOWS\SYSTEM32\paytime.exe


-------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

PC neustarten

----------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMedia32"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows installer"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

scanne mit Kaspersky und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.01.2006, 12:57
...neu hier

Beiträge: 6
#15 Hi Sabina hier sind die Ergebnissse:
Die ersten sind von der "critical area"
und die zwiten vom ganzen System:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, January 29, 2006 12:20:40
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/01/2006
Kaspersky Anti-Virus database records: 173711
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\Daniel\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 11843
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 362 sec

Infected Object Name - Virus Name
C:\WINDOWS\tool2.exe Infected: not-virus:Hoax.Win32.Renos.ay

Scan process completed.



-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, January 29, 2006 13:03:48
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/01/2006
Kaspersky Anti-Virus database records: 173711
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 56997
Number of viruses found: 4
Number of infected objects: 15
Number of suspicious objects: 0
Duration of the scan process: 1821 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\DontCha.zip/The Pussycat Dolls - Don't cha.mp3.exe/data0001 Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\DontCha.zip/The Pussycat Dolls - Don't cha.mp3.exe Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\DontCha.zip Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\More MP3.exe/data0001 Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\More MP3.exe Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Read first.exe/data0001 Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Read first.exe Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Sugababes - Push the button.mp3.exe/data0001 Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Sugababes - Push the button.mp3.exe Infected: Trojan-Downloader.Win32.IstBar.kh
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Identities\{A95464AC-50CC-46CF-BABC-8568715D85D4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Deutsche Bank <supprefnum3@deutsche-bank.de>][Date Wed, 25 Jan 2006 06:50:54 +0300]/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.ne
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Identities\{A95464AC-50CC-46CF-BABC-8568715D85D4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Deutsche Bank <supprefnum3@deutsche-bank.de>][Date Wed, 25 Jan 2006 06:50:54 +0300]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.ne
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Identities\{A95464AC-50CC-46CF-BABC-8568715D85D4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Trojan-Spy.HTML.Bankfraud.ne
C:\System Volume Information\_restore{BF2FCF5B-6B47-41E1-8FEC-F31BDB6FC800}\RP60\A0035526.exe Infected: Trojan-Downloader.Win32.Small.cgl
C:\System Volume Information\_restore{BF2FCF5B-6B47-41E1-8FEC-F31BDB6FC800}\RP61\A0036575.exe Infected: not-virus:Hoax.Win32.Renos.ay
C:\WINDOWS\tool2.exe Infected: not-virus:Hoax.Win32.Renos.ay

Scan process completed.



Danke Mfg Daniel


------------------------------------------------------------------------
Noch mal Hallo

die Domain ist mir nicht bekannt.

Habe alles gemacht wie du gesagt hast.

Scheint gut gegangen zu sein

Ich habe meinen Desktop wieder!!!!


Herzlichen Dank

Viele Grüße Daniel
Dieser Beitrag wurde am 29.01.2006 um 13:22 Uhr von DanielPH editiert.
Seitenanfang Seitenende