bluescreen "system is infected"

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.11.2005, 19:36
...neu hier

Beiträge: 5
#1 Hi

Mein Desktop Hintergrund hat so ein Bildchen auf dem Die Meldung "your system is infected" steht.

Logfile of HijackThis v1.99.1
Scan saved at 19:32:22, on 23.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\RUNDLL32.EXE
G:\java\bin\jusched.exe
G:\Winamp\winampa.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\WINDOWS\System32\nvsvc32.exe
G:\ICQ\Icq.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\WINDOWS\System32\msiexec.exe
F:\Programme\Internet Explorer\iexplore.exe
G:\WinRar\WinRAR.exe
F:\DOKUME~1\toni\LOKALE~1\Temp\Rar$EX00.803\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDH
hd+DajFkc+Kbcwflj5ebJGxZgn0bRp8M9M5s/6bD328bM+TJ31hHM09uRdI0GHn2hwFbEvOD7cB5G668
O01c3W2fe5hBnM/Gi3amWnSMG7ln8XjNla8II3eV2rc6oqmvsxIHgUpqq+vL2MXOZkt1Zi9Al7LgdOPKhtdKn
6kZpyeT5O0M/B280PFkKpMAvYCL0dFe+SFYmDQbifmi762F3wStBrPwtcctmjG1Zecq4DFyUmm5JpQtI9
0QMDQ+ZfjqZhHXmiG1vpneJ/vTq/mFkJspbV2vatsmMMO9cvhB7C0+4K3D2jpvTPfqnbvY6vBovPrcJeM=

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: F:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - F:\WINDOWS\system32\st3.dll
O2 - BHO: F:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B712} - F:\WINDOWS\adsldpbd.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar2.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - F:\Programme\Starware\bin\Starware.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - F:\Programme\Starware\bin\Starware.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] G:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\java\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] G:\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Steam] "g:\steam\steam.exe" -silent
O8 - Extra context menu item: &Google-Suche - res://f:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://f:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://f:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://f:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://f:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - G:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - G:\ICQ\ICQ.exe

O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/170a17c70bb66d536b18/netzip/RdxIE601_de.cab

O20 - Winlogon Notify: gs - F:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: st3 - F:\WINDOWS\system32\st3.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
Seitenanfang Seitenende
23.11.2005, 19:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@rulzmaker ;)

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 13:17
...neu hier

Themenstarter

Beiträge: 5
#3

Zitat

Datentr„ger in Laufwerk F: ist Windows
Volumeseriennummer: 7824-802B

Verzeichnis von F:\WINDOWS\system32

07.12.2005 13:10 7.006 jupdate-1.5.0_06-b05.log
07.12.2005 13:07 39.291 nvapps.xml
07.12.2005 12:46 13.646 wpa.dbl
20.11.2005 18:31 70.144 st3.dll
20.11.2005 18:13 160 zlokdfs9.leo
20.11.2005 18:12 3.388 ztoolbar.bmp
20.11.2005 18:12 7.823 ztoolbar.xml
20.11.2005 18:10 46.592 zlbw.dll
20.11.2005 18:09 57.390 sysvcs.exe
20.11.2005 18:09 57.390 ll.exe
20.11.2005 18:09 4 winsub.xml

20.11.2005 18:09 59 svcp.csv
20.11.2005 18:08 11.360 sdfdil.exe
20.11.2005 18:08 8.238 vxgamet1.exe

17.11.2005 19:46 176.167 rmoc3260.dll
17.11.2005 19:46 5.632 pndx5032.dll
17.11.2005 19:46 6.656 pndx5016.dll
17.11.2005 19:46 278.528 pncrt.dll
13.11.2005 17:38 34.064 lhacm.acm
13.11.2005 11:56 4.108 jupdate-1.4.2_10-b03.log

12.11.2005 17:02 16.832 amcompat.tlb
12.11.2005 17:02 23.392 nscompat.tlb
Seitenanfang Seitenende
07.12.2005, 14:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@rulzmaker

die Dateien aus dem 19 Jahrhundert interessieren mich nicht so sehr lol ...poste noch die anderen drei Textdateien, aber 2 Monate reichen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 15:40
...neu hier

Themenstarter

Beiträge: 5
#5

Zitat

Datentr„ger in Laufwerk F: ist Windows
Volumeseriennummer: 7824-802B

Verzeichnis von F:\DOKUME~1\toni\LOKALE~1\Temp

07.12.2005 15:36 978 TempICQMagicNumber_9317590013948.html
07.12.2005 15:30 16.384 ~DFC433.tmp
07.12.2005 15:30 512 ~DFC43E.tmp
07.12.2005 15:30 512 ~DFC403.tmp
07.12.2005 15:30 16.384 ~DFC3F8.tmp
07.12.2005 15:30 16.384 ~DFC3A1.tmp
07.12.2005 15:30 512 ~DFC3AC.tmp
07.12.2005 15:30 16.384 ~DFC198.tmp
07.12.2005 15:30 512 ~DFC1A3.tmp
07.12.2005 15:28 970 TempICQCLImage9316998018509.html
07.12.2005 14:25 16.384 ~DF7CE3.tmp
07.12.2005 14:25 512 ~DF7CEE.tmp
07.12.2005 13:57 512 ~DF4A0F.tmp
07.12.2005 13:57 16.384 ~DF4A04.tmp
07.12.2005 13:57 0 icq180.tmp
07.12.2005 13:57 0 icq17E.tmp
07.12.2005 13:57 0 icq17F.tmp
07.12.2005 13:57 512 ~DFA5F.tmp
07.12.2005 13:57 16.384 ~DFA54.tmp
23.11.2005 17:09 47.687 A~NSISu_.exe
20 Datei(en) 167.907 Bytes
0 Verzeichnis(se), 11.653.992.448 Bytes frei

Datentr„ger in Laufwerk F: ist Windows
Volumeseriennummer: 7824-802B

Verzeichnis von F:\WINDOWS

07.12.2005 13:07 2.048 bootstat.dat
04.12.2005 19:15 6.072 SchedLgU.Txt
30.11.2005 19:24 71.168 adsldpbe.dll
27.11.2005 19:35 725 ARPR.INI
25.11.2005 17:46 52.736 cc.exe
20.11.2005 18:27 309.849 blank.mht
20.11.2005 18:27 174.893 efefdfddfsdh.tmp
20.11.2005 18:12 1.999 desktop.html
20.11.2005 18:10 13.824 q14308013.dll
20.11.2005 18:09 2 flag.bla

12.11.2005 17:06 8.192 REGLOCS.OLD
12.11.2005 17:02 0 control.ini
12.11.2005 17:02 472 win.ini
12.11.2005 17:02 299.552 WMSysPrx.prx
12.11.2005 17:02 4.161 ODBCINST.INI
12.11.2005 17:01 749 WindowsShell.Manifest
12.11.2005 16:59 37 vbaddin.ini
12.11.2005 16:59 36 vb.ini
12.11.2005 16:53 231 system.ini


Datentr„ger in Laufwerk F: ist Windows
Volumeseriennummer: 7824-802B

Verzeichnis von F:\

07.12.2005 15:40 0 sys.txt
07.12.2005 15:40 2.834 system.txt
07.12.2005 15:39 1.259 systemtemp.txt
07.12.2005 15:39 91.652 system32.txt
07.12.2005 13:07 805.306.368 pagefile.sys
27.11.2005 19:11 55 regmoose.ini
12.11.2005 17:47 193 boot.ini
so ;-)
Seitenanfang Seitenende
07.12.2005, 16:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@rulzmaker

KILLBOX
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

F:\WINDOWS\system32\st3.dll
F:\WINDOWS\system32\zlokdfs9.leo
F:\WINDOWS\system32\ztoolbar.bmp
F:\WINDOWS\system32\ztoolbar.xml
F:\WINDOWS\system32\zlbw.dll
F:\WINDOWS\system32\sysvcs.exe
F:\WINDOWS\system32\ll.exe
F:\WINDOWS\system32\winsub.xml
F:\WINDOWS\system32\svcp.csv
F:\WINDOWS\system32\sdfdil.exe
F:\WINDOWS\system32\vxgamet1.exe

F:\WINDOWS\adsldpbe.dll
F:\WINDOWS\adsldpbd.dll
F:\WINDOWS\cc.exe
F:\WINDOWS\blank.mht
F:\WINDOWS\efefdfddfsdh.tmp
F:\WINDOWS\desktop.html
F:\WINDOWS\q14308013.dll
F:\WINDOWS\flag.bla

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDH
hd+DajFkc+Kbcwflj5ebJGxZgn0bRp8M9M5s/6bD328bM+TJ31hHM09uRdI0GHn2hwFbEvOD7cB5G668
O01c3W2fe5hBnM/Gi3amWnSMG7ln8XjNla8II3eV2rc6oqmvsxIHgUpqq+vL2MXOZkt1Zi9Al7LgdOPKhtdKn
6kZpyeT5O0M/B280PFkKpMAvYCL0dFe+SFYmDQbifmi762F3wStBrPwtcctmjG1Zecq4DFyUmm5JpQtI9
0QMDQ+ZfjqZhHXmiG1vpneJ/vTq/mFkJspbV2vatsmMMO9cvhB7C0+4K3D2jpvTPfqnbvY6vBovPrcJeM=

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: F:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - F:\WINDOWS\system32\st3.dll
O2 - BHO: F:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B712} - F:\WINDOWS\adsldpbd.dll

O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - F:\Programme\Starware\bin\Starware.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - F:\Programme\Starware\bin\Starware.dll

O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com

O20 - Winlogon Notify: gs - F:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: st3 - F:\WINDOWS\system32\st3.dll

PC neustarten

Clearup anwenden
http://virus-protect.org/cleanup.html

deinstallieren/loeschen
F:\Programme\Starware

poste das Log vom Silentrunner, damit wir den Desktophintergrund wieder hinbekommen ;)
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 17:07
...neu hier

Themenstarter

Beiträge: 5
#7

Zitat

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Steam" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "G:\AdobeReader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}\(Default) = "F:\WINDOWS\system32\st3.dll" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\system32\st3.dll" [null data]
{7507739F-BC2E-4DC3-B233-816783C25DC9}\(Default) = "F:\WINDOWS\adsldpbe.dll" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\adsldpbe.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "F:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{826B2228-BC09-49F2-B5F8-42CE26B1B712}\(Default) = "F:\WINDOWS\adsldpbd.dll" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\adsldpbd.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "G:\ICQ\ICQShExt.dll" ["ICQ"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "G:\WinRar\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "G:\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}" = "st3"
-> {CLSID}\InProcServer32\(Default) = "F:\WINDOWS\system32\st3.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! gs\DLLName = "F:\WINDOWS\adsldpbd.dll" [file not found]
INFECTION WARNING! st3\DLLName = "F:\WINDOWS\system32\st3.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {CLSID}\InProcServer32\(Default) = "G:\ICQ\ICQShExt.dll" ["ICQ"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "G:\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {CLSID}\InProcServer32\(Default) = "G:\ICQ\ICQShExt.dll" ["ICQ"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "G:\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "G:\WinRar\rarext.dll" [null data]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]

HIJACK WARNING! "Wallpaper" = "F:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "F:\Dokumente und Einstellungen\toni\Desktop\herbstfest2005_094.jpg"
"SubscribedURL" = "F:\Dokumente und Einstellungen\toni\Desktop\herbstfest2005_094.jpg"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"SCRNSAVE.EXE" = "F:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "F:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "G:\ICQ\ICQ.exe" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

NVIDIA Display Driver Service, NVSvc, "F:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 4 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 12 seconds.
---------- (total run time: 187 seconds)
Seitenanfang Seitenende
07.12.2005, 17:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Gehe in die Registry

Start--> ausfuehren--> regedit

bearbeiten--> suchen --> desktop.html


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" <<---loeschen

bearbeiten--> suchen -->

adsldpbe.dll
adsldpbd.dll
st3.dll

loesche alles, was du findest

--------------------------------------------------------------------------------
loesche noch mit der Killbox:

F:\WINDOWS\adsldpbe.dll
F:\WINDOWS\adsldpbd.dll

(eine davon hatte ich nicht mit aufgefuehrt)

PC neustarten

scanne und berichte
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 17:57
...neu hier

Themenstarter

Beiträge: 5
#9 Danke dir, scheint wieder alles ok.

*kussi, schmatz ;)
Seitenanfang Seitenende
22.01.2006, 15:58
Member

Beiträge: 15
#10 hi ! ich hab genau das selbe Problem.

Logfile of HijackThis v1.99.1
Scan saved at 15:47:48, on 22.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Dokumente und Einstellungen\Pro2To\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {0ECE1DCA-E17E-E315-1928-2A2A478D6236} - progmen.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [defect08] sysconf16.exe
O4 - HKLM\..\Run: [wormexe] Bogobot.exe
O4 - HKLM\..\Run: [dmgit.exe] C:\WINDOWS\System32\dmgit.exe
O4 - HKLM\..\Run: [dmpqv.exe] C:\WINDOWS\System32\dmpqv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [NSYSCPLSTR] Trayz.exe
O4 - HKCU\..\Run: [dialer423] FLKPT.exe
O4 - HKCU\..\Run: [defect08] newbreed.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3915E0A0-6CCE-4478-97C8-553493B8CCA3}: NameServer = 69.50.188.180,85.255.112.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Verzeichnis von C:\WINDOWS\system32

22.01.2006 17:27 31.440 BMXCtrlState-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
22.01.2006 17:27 31.560 BMXStateBkp-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
22.01.2006 17:27 31.440 BMXBkpCtrlState-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
22.01.2006 17:27 31.560 BMXState-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
22.01.2006 17:27 1.080 settings.sfm
22.01.2006 17:27 288 DVCState-{00000002-00000000-00000001-00001102-00000004-10031102}.dat
22.01.2006 17:27 288 DVCStateBkp-{00000002-00000000-00000001-00001102-00000004-10031102}.dat
22.01.2006 17:27 1.080 settingsbkup.sfm
10.01.2006 20:07 2.206 wpa.dbl
31.12.2005 18:50 43.520 CmdLineExt03.dll
30.12.2005 13:39 1.205 lvcoinst.log
14.12.2005 09:24 118.784 sirenacm.dll
09.12.2005 17:44 380.350 perfh009.dat
09.12.2005 17:44 52.764 perfc009.dat
09.12.2005 17:44 63.580 perfc007.dat
09.12.2005 17:44 391.000 perfh007.dat
09.12.2005 17:44 897.954 PerfStringBackup.INI
09.12.2005 17:12 320 results.txt
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
13.11.2005 05:26 633 Installer.log
08.11.2005 18:47 98.304 CmdLineExt.dll
04.11.2005 16:27 534.280 LegitCheckControl.DLL
04.11.2005 16:27 23.304 GWFSPidGen.DLL

Verzeichnis von C:\DOKUME~1\Pro2To\LOKALE~1\Temp

22.01.2006 17:44 32.768 ~DFBC81.tmp
22.01.2006 17:44 666 LVCOMSX.LOG
22.01.2006 17:44 32.768 ~DF183B.tmp
22.01.2006 17:44 206 jusched.log
22.01.2006 17:28 32.768 ~DF76C2.tmp
22.01.2006 17:28 32.768 ~DF660A.tmp

Verzeichnis von C:\WINDOWS

22.01.2006 17:43 4.482.315 {00000002-00000000-00000001-00001102-00000004-10031102}.CDF
22.01.2006 17:28 0 0.log
22.01.2006 17:28 159 wiadebug.log
22.01.2006 17:28 50 wiaservc.log
22.01.2006 17:28 2.048 bootstat.dat
22.01.2006 17:27 32.630 SchedLgU.Txt
22.01.2006 15:15 155 winamp.ini
22.01.2006 15:14 54.156 QTFont.qfn
21.01.2006 18:04 1.999 desktop.html
15.01.2006 11:56 1.612.336 setupapi.log
31.12.2005 22:49 163 NeroDigital.ini
09.12.2005 17:58 685 win.ini
09.12.2005 17:13 35.066 Windows Update.log
12.11.2005 04:05 373.256 DirectX.log
01.11.2005 19:15 528 _delis32.ini
30.10.2005 21:40 87 setup.log
30.10.2005 21:31 8.831 wmsetup.log
30.10.2005 20:35 1.409 QTFont.for
30.10.2005 20:35 647 GEARInstall.log

Verzeichnis von C:\

22.01.2006 18:00 0 sys.txt
22.01.2006 17:59 5.994 system.txt
22.01.2006 17:58 538 systemtemp.txt
22.01.2006 17:50 100.684 system32.txt
22.01.2006 17:28 1.610.612.736 pagefile.sys
26.10.2004 10:56 0 MSDOS.SYS
26.10.2004 10:56 0 IO.SYS
26.10.2004 10:56 0 CONFIG.SYS
26.10.2004 10:56 0 AUTOEXEC.BAT
26.10.2004 10:52 287 boot.ini


und .. das f-secure blacklight kann ich nicht downloaden.
Bekomm die Fehlermeldung: The evaluation for this beta version of F-Secure BlackLight has expired. Dann ist unten ein link http://www.f-secure.com/blacklight/
Da kann die Seite nicht angezeigt werden.

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 15.03.2004 18:28:50 69120 C:\WINDOWS\daemon.dll

Checking %System% folder...
UPX! 22.11.2002 16:21:28 123904 C:\WINDOWS\SYSTEM32\avisynth.dll
aspack 18.03.2005 16:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll
aspack 26.05.2005 15:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll
aspack 22.07.2005 19:59:04 2319568 C:\WINDOWS\SYSTEM32\d3dx9_27.dll
PEC2 21.07.2003 21:52:52 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 15.07.2005 19:36:36 692736 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 15.07.2005 19:36:36 692736 C:\WINDOWS\SYSTEM32\DivX.dll
UPX! 24.11.2001 20:31:48 65536 C:\WINDOWS\SYSTEM32\DVDAudio.ax
UPX! 24.11.2001 20:28:14 86528 C:\WINDOWS\SYSTEM32\DVDVideo.ax
PTech 04.11.2005 16:27:24 534280 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL
Umonitor 21.07.2003 22:09:46 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 21.07.2003 22:17:16 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
22.01.2006 18:22:32 S 2048 C:\WINDOWS\bootstat.dat
22.01.2006 15:14:16 H 54156 C:\WINDOWS\QTFont.qfn
22.01.2006 18:17:56 H 0 C:\WINDOWS\inf\oem15.inf
22.01.2006 18:23:14 H 1024 C:\WINDOWS\system32\config\default.LOG
22.01.2006 18:22:40 H 1024 C:\WINDOWS\system32\config\SAM.LOG
22.01.2006 18:23:14 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
22.01.2006 18:28:56 H 1024 C:\WINDOWS\system32\config\software.LOG
22.01.2006 18:23:54 H 1024 C:\WINDOWS\system32\config\system.LOG
31.12.2005 12:56:04 H 0 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
22.01.2006 18:18:00 RHS 13698 C:\WINDOWS\system32\Restore\filelist.xml
22.01.2006 18:22:36 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 21.07.2003 21:48:54 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 21.07.2003 21:49:40 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Creative Technology Ltd. 28.05.2001 13:47:00 32768 C:\WINDOWS\SYSTEM32\AudioHQU.cpl
Logitech Inc. 08.06.2005 15:13:28 282624 C:\WINDOWS\SYSTEM32\camcpl.cpl
Microsoft Corporation 21.07.2003 21:52:48 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 21.07.2003 21:55:44 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Ahead Software AG 23.12.2003 15:40:52 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl
Microsoft Corporation 21.07.2003 21:56:58 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 21.07.2003 21:57:06 125440 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 21.07.2003 21:57:42 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 03.06.2005 02:52:54 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 21.07.2003 21:59:06 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 21.07.2003 22:01:02 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Kristal Studio 03.03.2001 03:39:28 121856 C:\WINDOWS\SYSTEM32\Mp3cnfg.cpl
Microsoft Corporation 21.07.2003 22:05:14 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 21.07.2003 22:07:28 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 21.07.2003 22:07:40 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 21.07.2003 22:09:06 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 21.07.2003 22:14:16 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 21.07.2003 22:14:46 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 21.07.2003 22:14:52 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 21.07.2003 21:48:54 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 21.07.2003 21:49:40 583680 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 21.07.2003 21:52:48 132096 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 21.07.2003 21:55:44 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 21.07.2003 21:56:58 293376 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 21.07.2003 21:57:06 125440 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 21.07.2003 21:57:42 66560 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 21.07.2003 21:59:06 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 21.07.2003 22:01:02 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 21.07.2003 22:05:14 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 21.07.2003 22:07:28 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 21.07.2003 22:07:40 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 21.07.2003 22:09:06 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 21.07.2003 22:10:52 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 21.07.2003 22:14:16 272896 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 21.07.2003 22:14:46 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 21.07.2003 22:14:52 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
26.10.2004 10:56:48 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
22.01.2006 18:23:40 2299 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sinus 1054 data WLAN Manager.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
26.10.2004 11:49:34 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
26.10.2004 10:56:48 HS 84 C:\Dokumente und Einstellungen\Pro2To\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
26.10.2004 11:49:34 HS 62 C:\Dokumente und Einstellungen\Pro2To\Anwendungsdaten\desktop.ini
21.01.2006 18:04:34 2135681 C:\Dokumente und Einstellungen\Pro2To\Anwendungsdaten\Install.dat
23.12.2004 03:43:14 4713 C:\Dokumente und Einstellungen\Pro2To\Anwendungsdaten\wo.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\MSMSGS.EXE

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ATIPTA "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
Logitech Utility Logi_MwX.Exe
CTSysVol C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
CTHelper CTHELPER.EXE
AsioReg REGSVR32.EXE /S CTASIO.DLL
UpdReg C:\WINDOWS\UpdReg.EXE
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
DAEMON Tools-1033 "C:\Programme\D-Tools\daemon.exe" -lang 1033
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min
SmcService C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
LVCOMSX C:\WINDOWS\System32\LVCOMSX.EXE
LogitechVideoRepair C:\Programme\Logitech\Video\ISStart.exe
LogitechVideoTray C:\Programme\Logitech\Video\LogiTray.exe
gcasServ "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSMSGS "C:\Programme\Messenger\MSMSGS.EXE" /background
LogitechSoftwareUpdate C:\Programme\Logitech\Video\ManifestEngine.exe boot
MessengerPlus3 "\" /WinStart
msnmsgr "C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallpaper 0
NoComponents 0
NoAddingComponents 0
NoDeletingComponents 0
NoEditingComponents 0
NoHTMLWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktop 0
ClassicShell 0
ForceActiveDesktopOn 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0
Wallpaper C:\WINDOWS\desktop.html


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} =
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 22.01.2006 18:31:42
Dieser Beitrag wurde am 22.01.2006 um 18:35 Uhr von Pro2To editiert.
Seitenanfang Seitenende
22.01.2006, 16:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Pro2To

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {0ECE1DCA-E17E-E315-1928-2A2A478D6236} - progmen.dll (file missing)
O4 - HKLM\..\Run: [defect08] sysconf16.exe
O4 - HKLM\..\Run: [wormexe] Bogobot.exe
O4 - HKLM\..\Run: [dmgit.exe] C:\WINDOWS\System32\dmgit.exe
O4 - HKLM\..\Run: [dmpqv.exe] C:\WINDOWS\System32\dmpqv.exe
O4 - HKCU\..\Run: [NSYSCPLSTR] Trayz.exe
O4 - HKCU\..\Run: [dialer423] FLKPT.exe
O4 - HKCU\..\Run: [defect08] newbreed.exe

pC neustarten


Zitat

------------------------------------------------------------------------------------------------
http://virus-protect.org/artikel/spyware/wareout2.html

O17 - HKLM\System\CCS\Services\Tcpip\..\{3915E0A0-6CCE-4478-97C8-553493B8CCA3}: NameServer = 69.50.188.180,85.255.112.5

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2006, 18:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Pro2To

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/try.shtml <---versuche es hier ;)
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie

kopiere das Log von Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2006, 18:45
Member

Beiträge: 15
#13 Der findet den Server einfach nicht. :..(
Da kann ich machen was ich will.
Seitenanfang Seitenende
22.01.2006, 20:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

dann versuche es noch mal mit dem black
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2006, 20:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Pro2To

laden und auf dem Desktop entpacken
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

laden und auf dem Desktop entpacken
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
------------------------------------------------------------------------------

Den folgenden Text
in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-
damit wird deine Internetverbindung geloescht, du musst nach dem Neustart eine neue erstellen
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O17 - HKLM\System\CCS\Services\Tcpip\..\{3915E0A0-6CCE-4478-97C8-553493B8CCA3}: NameServer = 69.50.188.180,85.255.112.5

-------------------------------------------------------------
KILLBOX - Pocket KillBox

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Dokumente und Einstellungen\Pro2To\Anwendungsdaten\Install.dat
C:\Dokumente und Einstellungen\Pro2To\Anwendungsdaten\wo.tmp
C:\WINDOWS\System32\dmgit.exe
C:\WINDOWS\System32\dmpqv.exe
C:\WINDOWS\desktop.html

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken.


FixWareout:
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

http://virus-protect.org/cureit.html
scanne und kopiere hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: