Home » Spyware & Browser Hijacker Support Forum » "Your system is infected with spyware" *sry* » Themenansicht

"Your system is infected with spyware" *sry*
#0
03.12.2005, 00:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 ociii

das holt man sich, wenn man auf dubiosen Seiten surft lol
wenn du nun wieder Internet hast, scanne mit Panda und poste den scanreport ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 17:24
ociii
...neu hier

Beiträge: 10
#32 Hallo Sabine, bevor ich das System mit Panda scannen konnte, habe ich dringenst zu erledigende Sachen gemacht. Jetzt habe ich das Problem, dass der Compi alle naselang `ne Gretsche macht. Ich hoffe, es liegt nicht am gleichen Problem. Habe mal mit HighJackTihs gescannt. Hier das Resultat:
Logfile of HijackThis v1.99.1
Scan saved at 07:38:41, on 07.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws/eBayISAPI.dll?SignIn&co_partnerId=
2&pUserId=&siteid=77&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=
http%3A%2F%2Fmy.ebay.de%2Fws%2FeBayISAPI.dll%3FMyEbayForGuests&p
p=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&migr
ateVisitor=

F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Falls etwas faul ist, melde Dich bitte.

Gruss und Danke

ociii
Seitenanfang Seitenende
07.12.2005, 19:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 ociii

Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn das Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 21:12
ociii
...neu hier

Beiträge: 10
#34 Hallo Sabina,
jetzt läuft der Rechner gerade wieder. Der macht mich noch mal irre. Habe obige Dinge erledigt. Hoffentlich richtig. Hier der scan:

SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1280 'explorer.exe'
Killing PID 1280 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

Werde gleich versuchen den Panda-scan zu machen. Dauert nur etwas (56K-Modem)

Gruss
ociii
Seitenanfang Seitenende
07.12.2005, 21:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 ociii

poste dann das Scanergebnis hier ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2005, 08:50
ociii
...neu hier

Beiträge: 10
#36 Hallo Sabina,
habe ich versucht, ich konnte das entsprechende Programm noch runterladen. Beim Scannen ist der Compi dann wieder nach ca. 50% des Computer-Scans abgestürzt. Gefunden wurde eine spyware. Aber welche kann ich jetzt wegen des Absturz nicht posten.

WAS NUN??? Format*?
Gruss

ociii
Seitenanfang Seitenende
08.12.2005, 12:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 ociii

o.k. wir machen es mal rigeros, ich sehe keine andere Moeglichkeit.

fixe mit dem HijackThis:

F2 - REG:system.ini: Shell=explorer.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

PC neustarten

scanne im abgesicherten modus und berichte, wie es laeuft
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2005, 13:55
ociii
...neu hier

Beiträge: 10
#38 Hallo Sabina,
habe mich gerade in der Mittagspause damit beschäftigt. Beide Punkte gefixt. Und im Abgesicherten Modus gescannt:
Logfile of HijackThis v1.99.1
Scan saved at 13:44:16, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws/eBayISAPI.dll?SignIn&co_partnerId=2&pUserId=&siteid=
77&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=http%3A%2F%2Fmy.ebay.de%
2Fws%2FeBayISAPI.dll%3FMyEbayForGuests&pp=&pa2=&errmsg=&runame=&ruparams=
&ruproduct=&sid=&favoritenav=&migrateVisitor=
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Dann habe ich ihn im normalen Modus gestartet. Er ist glaich abgestürtzt nachdem er Windows geöffnet hat und fährt auch gerade im abgesicherten Modus nicht mehr hoch.

Format*?

Gruss

Dirk
Seitenanfang Seitenende
08.12.2005, 14:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 JA, format...wird wohl das beste sein...es gibt wohl mehr Probleme auf dem System, als ein bisschen Spyware.
Dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.03.2006, 12:03
ociii
...neu hier

Beiträge: 10
#40 Entschuldige, dass ich mich lange gemeldet habe. Es lag doch an dere Hardware. Lüfter defekt. Nach wechseln und kompletter Neuinstallation ist alles in Ordnung.
Mit Panda habe ich zuvor, als der Compi mal einige Zeit lief, auch was gefunden und gelöscht. Danach war das Problem gefressen.

Gruss
ociii
Seitenanfang Seitenende
01.11.2006, 17:38
Zoink
...neu hier

Beiträge: 3
#41 moin moin , bin neu hier , hab aber den shize schon seit ner ewigkeit und Bring das teil einfach nich weg :-(

also ich hab auch Hijackthis durchlaufen lassen und :

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
D:\Programme\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
E:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\WhenUSearch\Search.exe
C:\Programme\WhenUSearch\whse.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\WhenU\DTAdapter.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\WinFast\WFTVFM\WFTV.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Charles\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oghudwyksbbz.com/bc2/kc8rUW1IfGmIQEYNdpIhLVTp311zC_g8tok65CFG3gOE/0G68Mr3NZ2W8b_1.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67E9D42A-544F-21F1-1BA7-D4B951F7C92E} - C:\DOKUME~1\Charles\ANWEND~1\ONLINE~1\peak team.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Programme\WhenUSearch\search.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [VirtualCloneDrive] "E:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EXPLORER] EXPL0RER.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Mobile Phone Suite] C:\Programme\Logitech\Mobile Phone Suite\MobilePhoneSuite.exe -nogui
O4 - HKLM\..\Run: [AceGain LiveUpdate] E:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Programme\WhenUSearch\whse.exe"
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd9.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban9.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames9.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [slowaudiolovebin] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\One Meta Slow Audio\style bows.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [PSPVideo9] C:\Programme\pspvideo9\pspVideo9.exe -t
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Five Body] C:\DOKUME~1\Charles\ANWEND~1\FLAPWE~1\Curb eq open.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\system32\winshost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125861024316
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://download.shockwave.com/pub/otoy/OTOYAX.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\mzdtcprx.dll
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

danke für antwort ^^
Seitenanfang Seitenende
01.11.2006, 18:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 Zoink

viel ist da vielleicht nicht mehr zu machen, aber mit ein wenig Geduld, kann man diesen verseuchten Rechner reinigen besser waere zu formatieren !

0.
schreibe welche dll du links oder rechts findest
LSPfix
http://www.spychecker.com/program/lspfix.html

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 23:00
Zoink
...neu hier

Beiträge: 3
#43 0. Links:
mswsock.dll
winrnr.dll
newdotnet7_22.dll
rspsp.dll

Rechts : nix

1.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32\mzdtcprx.dll


Granting sedebugprivilege to Administratoren ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload2.dat
C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Install.dat
C:\Programme\TheSearchAccelerator


((((((((((((((((((((((((((((((( Files Created from 2006-10-01 to 2006-11-01 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-01 22:00 -------- d-------- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\teamspeak2
2006-11-01 00:16 -------- d-------- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Skype
2006-10-27 15:02 -------- d-------- C:\Programme\NETGEAR WG311v2 Adapter
2006-10-26 17:33 -------- d-------- C:\Programme\CleanUp!
2006-10-25 21:31 -------- d-------- C:\Programme\Skype
2006-10-16 20:19 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-16 20:19 -------- d-------- C:\Programme\Sony
2006-10-16 13:49 -------- d-------- C:\Programme\Gemeinsame Dateien\GBelectronics Shared
2006-10-16 13:49 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-16 13:49 -------- d-------- C:\Programme\GBelectronics
2006-10-16 13:02 -------- d-------- C:\Programme\pspvideo9
2006-10-16 13:02 -------- d-------- C:\Programme\AviSynth 2.5
2006-10-11 17:24 -------- d-------- C:\Programme\devolo
2006-10-06 17:30 -------- d-------- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Flap Web Rule
2006-10-06 17:05 -------- d-------- C:\Programme\Flap Web Rule
2006-10-06 17:05 -------- d-------- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Online knob
2006-10-01 00:26 -------- d-------- C:\Programme\thriXXX
2006-09-30 14:19 -------- d---s---- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Microsoft
2006-09-23 01:08 -------- d-------- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Xfire
2006-09-22 19:04 -------- d-------- C:\Programme\NewDotNet
2006-09-22 08:42 -------- d-------- C:\Programme\UselessCreations
2006-09-20 22:17 -------- d-------- C:\Programme\WhenUSearch
2006-09-18 20:58 -------- d-------- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\VMware
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-11 15:14 -------- d-------- C:\Programme\HP
2006-09-11 15:13 -------- d-------- C:\Programme\Gemeinsame Dateien\HP
2006-09-11 15:10 -------- d-------- C:\Programme\Hewlett-Packard
2006-09-11 15:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2006-09-04 20:00 -------- d-------- C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\AdobeUM
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-19 19:28 737280 --a------ C:\WINDOWS\iun6002.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Five Body"="C:\\DOKUME~1\\Charles\\ANWEND~1\\FLAPWE~1\\Curb eq open.exe"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\" /WinStart"
"winshost.exe"="C:\\WINDOWS\\system32\\winshost.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"PayTime"="C:\\WINDOWS\\system32\\paytime.exe"
"Steam"="\"e:\\programme\\steam\\steam.exe\" -silent"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"WinFast Schedule"="C:\\Programme\\WinFast\\WFTVFM\\WFWIZ.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"iTunesHelper"="D:\\Programme\\iTunesHelper.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"AS00_Netgear"="C:\\Programme\\NETGEAR\\Wireless Smart Configuration\\Utility\\NetgearAG.exe -hide"
"VirtualCloneDrive"="\"E:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"firewall_anti"="C:\\WINDOWS\\firewall_anti.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"Mobile Phone Suite"="C:\\Programme\\Logitech\\Mobile Phone Suite\\MobilePhoneSuite.exe -nogui"
"AceGain LiveUpdate"="E:\\Programme\\AceGain\\LiveUpdate\\LiveUpdate.exe"
"WhenUSearch"="\"C:\\Programme\\WhenUSearch\\Search.exe\""
"WhenUSearchWHSE"="\"C:\\Programme\\WhenUSearch\\whse.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"slowaudiolovebin"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\One Meta Slow Audio\\style bows.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"HP Software Update"="\"C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe\""
"New.net Startup"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~2.DLL,ClientStartup -s"
"PSPVideo9"="C:\\Programme\\pspvideo9\\pspVideo9.exe -t"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"Flag"=dword:00000002

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,3f,02,00,00,00,00,00,00,41,02,00,00,2a,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,59,01,00,00,00,00,00,00,27,03,00,00,2a,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,59,01,00,00,00,00,00,00,27,03,00,00,2a,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"Wallpaper"="C:\\WINDOWS\\desktop.html"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTServ

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\3AFA7F6294AE68C6.job

Completion time: 06-11-01 22:38:40.10
C:\ComboFix.txt ... 06-11-01 22:38




2.done

3.

Verzeichnis von C:\WINDOWS\system32

06-11-01 22:42 380,350 perfh009.dat
06-11-01 22:42 52,764 perfc009.dat
06-11-01 22:42 63,580 perfc007.dat
06-11-01 22:42 391,000 perfh007.dat
06-11-01 22:42 897,778 PerfStringBackup.INI
06-10-30 06:41 12,598 wpa.dbl
06-10-04 21:03 9,639,336 MRT.exe
06-09-13 06:02 1,084,416 msxml3.dll
06-09-11 14:51 134 AddPort.ini
06-09-04 07:12 1,494,016 shdocvw.dll
06-08-25 16:46 617,472 comctl32.dll
06-08-21 13:26 16,896 fltlib.dll
06-08-21 10:14 23,040 fltmc.exe
06-08-16 12:58 100,352 6to4svc.dll
06-07-28 12:28 3,075,072 mshtml.dll
06-07-28 11:48 43,520 CmdLineExt03.dll
06-07-27 14:25 679,424 inetcomm.dll
06-07-25 21:33 615,936 urlmon.dll
06-07-21 09:29 72,704 hlink.dll
06-07-14 16:38 332,288 netapi32.dll
06-07-14 16:25 546,304 hhctrl.ocx
06-07-13 14:34 8,494,592 shell32.dll
06-07-05 11:55 1,057,792 kernel32.dll



Verzeichnis von C:\DOKUME~1\Charles\LOKALE~1\Temp

06-11-01 22:53 47,122 DIO42.tmp
06-11-01 22:53 16,384 ~DF955C.tmp
06-11-01 22:40 3,013 hpodvd09.log
3 Datei(en) 66,519 Bytes
0 Verzeichnis(se), 2,574,004,224 Bytes frei






Verzeichnis von C:\WINDOWS

06-11-01 22:38 0 0.log
06-11-01 22:38 159 wiadebug.log
06-11-01 22:38 1,394,653 WindowsUpdate.log
06-11-01 22:38 50 wiaservc.log
06-11-01 22:38 2,048 bootstat.dat
06-11-01 17:31 135 NeroDigital.ini
06-11-01 00:31 32,644 SchedLgU.Txt
06-10-26 17:37 453,958 setupapi.log
06-10-13 09:34 28,040 tabletoc.log
06-10-13 09:34 626,229 iis6.log
06-10-13 09:34 191,489 comsetup.log
06-10-13 09:34 30,297 ocmsn.log
06-10-13 09:34 254,569 tsoc.log
06-10-13 09:34 1,393 imsins.log
06-10-13 09:34 114,419 ntdtcsetup.log
06-10-13 09:34 16,391 KB924191.log
06-10-13 09:34 265,508 ocgen.log
06-10-13 09:34 27,445 msgsocm.log
06-10-13 09:34 95,928 netfxocm.log
06-10-13 09:34 38,048 MedCtrOC.log
06-10-13 09:34 543,233 FaxSetup.log
06-10-13 09:34 170,696 msmqinst.log
06-10-13 09:34 37,541 updspapi.log
06-10-13 09:34 15,992 KB922819.log
06-10-13 09:34 14,203 KB923414.log
06-10-13 09:34 14,212 KB924496.log
06-10-13 09:34 11,772 KB923191.log
06-09-27 23:39 12,142 KB925486.log
06-09-23 17:43 384 setupact.log
06-09-12 23:37 13,075 KB920685.log
06-09-12 23:37 15,019 KB920872.log
06-09-12 23:36 13,238 KB919007.log
06-09-12 23:36 9,183 KB922582.log
06-09-11 15:17 69,501 hpoins05.dat
06-09-11 15:15 647 win.ini
06-09-11 14:51 697 hpntwksetup.ini
06-08-20 02:04 17,802 KB920214.log
06-08-20 02:04 17,505 KB921883.log
06-08-20 02:03 17,671 KB922616.log
06-08-20 02:03 17,275 KB921398.log
06-08-20 02:02 20,339 KB918899.log
06-08-20 02:01 12,141 KB920670.log
06-08-20 02:01 12,298 KB917422.log
06-08-20 02:01 12,559 KB920683.log
06-08-19 19:29 2,045 eReg.dat
06-08-19 19:28 737,280 iun6002.exe
06-08-19 19:28 22,908 Battlecraft 1942 Setup Log.txt
06-07-14 02:06 13,263 KB917159.log
06-07-14 02:06 13,831 KB914388.log
06-07-14 02:06 12,064 KB916595.log
06-07-14 02:06 0 setuperr.log
06-07-12 19:23 122,973 DirectX.log


Verzeichnis von C:\WINDOWS\Temp



(Verzeichnis von C:\WINDOWS\Downloaded Program Files

06-04-10 11:36 367 LegitCheckControl.inf
05-10-14 11:49 587 MSNPupld.inf
05-10-14 10:02 372,736 MsnPUpld.dll
05-09-05 06:50 602,112 ClientAX.dll
05-08-27 13:30 5,065 swflash.inf
05-08-14 00:26 113,664 MsnMessengerSetupDownloader.ocx
05-06-30 15:19 227 MsnMessengerSetupDownloader.inf
05-05-26 03:19 291 wuweb.inf
05-03-22 14:14 65 desktop.ini
04-11-17 21:44 114,728 ZIntro.ocx
04-10-15 06:53 110,592 PURde-xx.dll
04-06-01 01:30 509,680 OTOYAX.dll
04-04-06 18:03 172,072 MessengerStatsPAClient.dll
03-07-03 12:59 160 gsmanager.inf
03-06-30 21:41 1,689 WMV9VCM.inf
03-05-29 14:00 84,064 minesweeper.dll
03-05-29 14:00 160,864 messengerstatsclient.dll
02-11-13 07:06 196,608 GSManager.dll
02-06-19 13:11 117,088 PURen-us.dll
02-05-31 08:19 117,328 purde-ch.dll
20 Datei(en) 2,679,987 Bytes
0 Verzeichnis(se), 2,573,983,744 Bytes frei



Verzeichnis von C:\

06-11-01 22:58 0 sys.txt
06-11-01 22:57 1,275 down.txt
06-11-01 22:57 117 tmp.txt
06-11-01 22:56 11,245 system.txt
06-11-01 22:56 385 systemtemp.txt
06-11-01 22:55 115,772 system32.txt
06-11-01 22:38 10,346 ComboFix.txt
06-11-01 22:38 1,073,270,784 hiberfil.sys
06-11-01 22:38 805,306,368 pagefile.sys
06-06-16 00:49 5,172 debug.log
06-06-14 09:14 54 DebugTrace-rockalldll.log
06-05-11 09:36 267 boot.ini
05-08-06 16:16 27 DevilCrypt.sys
05-04-22 19:05 4,020 data
05-03-22 14:15 0 AUTOEXEC.BAT
05-03-22 14:15 0 IO.SYS
05-03-22 14:15 0 MSDOS.SYS
05-03-22 14:15 0 CONFIG.SYS
04-08-04 13:00 251,184 ntldr
04-08-04 13:00 47,564 NTDETECT.COM
04-08-04 13:00 4,952 bootfont.bin
04-08-04 13:00 262,448 $LDR$
04-08-04 13:00 469,166 txtsetup.sif
23 Datei(en) 1,879,761,146 Bytes
0 Verzeichnis(se), 2,573,979,648 Bytes frei)
Seitenanfang Seitenende
01.11.2006, 23:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 Zoink

1.
LSPfix
http://www.spychecker.com/program/lspfix.html
- hake an: "I know what Im doing"--Remove
- und loesche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen) - WICHTIG !

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\tasks\3AFA7F6294AE68C6.job
C:\WINDOWS\Downloaded Program Files\ClientAX.dll
C:\WINDOWS\firewall_anti.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\winshost.exe
C:\WINDOWS\system32\SiKernel.dll
C:\WINDOWS\desktop.html

Folders to delete:
C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Flap Web Rule
C:\Dokumente und Einstellungen\Charles\Anwendungsdaten\Online knob
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\One Meta Slow Audio
C:\Programme\devolo
C:\Programme\MessengerPlus! 3
C:\Programme\TheSearchAccelerator
C:\Programme\Flap Web Rule
C:\Programme\NewDotNet
C:\Programme\WhenUSearch
C:\Programme\QuickSearch
C:\Programme\Zango
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oghudwyksbbz.com/bc2/kc8rUW1IfGmIQEYNdpIhLVTp311zC_g8tok65CFG3gOE/0G68Mr3NZ2W8b_1.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll

O2 - BHO: (no name) - {67E9D42A-544F-21F1-1BA7-D4B951F7C92E} - C:\DOKUME~1\Charles\ANWEND~1\ONLINE~1\peak team.exe

O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll

O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Programme\WhenUSearch\search.dll

O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe

O4 - HKLM\..\Run: [EXPLORER] EXPL0RER.EXE

O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Programme\WhenUSearch\whse.exe"
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd9.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban9.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames9.exe

O4 - HKLM\..\Run: [slowaudiolovebin] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\One Meta Slow Audio\style bows.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKCU\..\Run: [Five Body] C:\DOKUME~1\Charles\ANWEND~1\FLAPWE~1\Curb eq open.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\system32\winshost.exe

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\mzdtcprx.dll
PC neustarten

««
scanne mit smitfrautfix ´option 1 und 2 - lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html

»»
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein


**
scanne mit Counterspy, stelle nach dem scann alles auf remove (lasse auch den MessengerPlus! 3
mitloeschen)
und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.11.2006 um 13:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.11.2006, 00:28
Zoink
...neu hier

Beiträge: 3
#45 omg ! es hat geklappt ^^
Ich kann meinen Desktophintergrund wieder sleber wählen xD ich hätte fast angefangen zu weinen als ich das Fenster minimierte und dann die Schöne wüsste sah ^^ danke vielmals.
ich lauf nohc CounterSpy durchlaufen.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234