spyaxe, da ist noch was übrig das ich nicht wegkriege

#1 Wie der Titel schon sagt, da ist noch was übrig. Nachdem ich mir gut 30 Std. um die ohren geschlagen habe, gebe ich auf und suche Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 20:39:02, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\HP DVD\Umbrella\DVDTray.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Nanuk\LOKALE~1\Temp\Temporäres Verzeichnis 17 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp4FA6.tmp
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Verzeichnis von C:\WINDOWS\system32

25.11.2005 20:20 5.384 ncompat.tlb
25.11.2005 14:15 35.873 vsconfig.xml
25.11.2005 14:14 24.064 ld5DC0.tmp
25.11.2005 13:19 5.632 msvol.tlb
25.11.2005 13:19 20.480 hp4FA6.tmp
25.11.2005 01:29 98.304 svchosts.dll
25.11.2005 01:29 4.286 ot.ico
25.11.2005 01:29 4.286 ts.ico
25.11.2005 01:27 14.504 mscornet.exe
23.11.2005 13:11 4.212 zllictbl.dat
21.11.2005 17:53 2.206 wpa.dbl
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
30.10.2005 20:49 42.496 swreg.exe
30.10.2005 11:34 380.350 perfh009.dat
30.10.2005 11:34 391.000 perfh007.dat
30.10.2005 11:34 52.764 perfc009.dat
30.10.2005 11:34 63.580 perfc007.dat
30.10.2005 11:34 897.954 PerfStringBackup.INI
17.09.2005 16:07 12.800 remsdnsv.exe
16.09.2005 18:27 4.096 crash


Verzeichnis von C:\DOKUME~1\Nanuk\LOKALE~1\Temp

25.11.2005 20:16 0 sa3A56.tmp
25.11.2005 19:36 0 sa3A54.tmp
25.11.2005 18:56 0 sa3A53.tmp
25.11.2005 18:16 0 sa3A52.tmp
25.11.2005 17:36 0 sa3A51.tmp
25.11.2005 16:56 0 sa3A50.tmp
25.11.2005 16:47 16.890.929 MWAV.LOG
25.11.2005 16:47 2.121 mwXface.log
25.11.2005 16:16 0 sa38F1.tmp
25.11.2005 15:36 0 sa2D16.tmp

Verzeichnis von C:\WINDOWS

25.11.2005 14:35 0 Lic.xxx
25.11.2005 14:34 50 wiaservc.log
25.11.2005 14:34 159 wiadebug.log
25.11.2005 14:15 0 0.log
25.11.2005 14:14 2.048 bootstat.dat
25.11.2005 14:13 32.626 SchedLgU.Txt
25.11.2005 14:13 89.046 WindowsUpdate.log
25.11.2005 13:38 1.409 QTFont.for
25.11.2005 13:38 54.156 QTFont.qfn
25.11.2005 13:18 715 win.ini
25.11.2005 13:18 227 system.ini
21.11.2005 17:40 521.642 setupapi.log
20.11.2005 22:36 17.656 _detmp.1
20.11.2005 22:16 168.289 setupact.log
19.11.2005 18:31 347 nsw.log
30.09.2005 10:38 522 GEARInstall.log
27.09.2005 21:23 99.970 UninstallFirefox.exe
27.09.2005 21:22 8.182 mozver.dat


Verzeichnis von C:\

25.11.2005 20:24 0 sys.txt
25.11.2005 20:23 5.618 system.txt
25.11.2005 20:23 20.018 systemtemp.txt
25.11.2005 20:21 102.182 system32.txt
25.11.2005 19:20 138 rapport.txt
25.11.2005 16:28 50 23990098.$$$
25.11.2005 16:28 6 AVPCallback.log
25.11.2005 14:14 1.443 windelf.txt
25.11.2005 14:14 402.653.184 pagefile.sys
25.11.2005 13:18 211 boot.ini
24.11.2005 22:38 5.560 delfiles.bat
09.09.2005 21:13 1.124 INSTALL.LOG
22.08.2005 21:12 50 AUTOEXEC.BAT
16.08.2005 15:49 47.564 NTDETECT.COM
16.08.2005 15:49 251.184 ntldr
16.08.2005 14:01 0 MSDOS.SYS
16.08.2005 14:01 0 CONFIG.SYS
16.08.2005 14:01 0 IO.SYS
23.08.2001 13:00 4.952 bootfont.bin
24.05.2001 11:59 162.304 UNWISE.EXE
20 Datei(en) 403.255.588 Bytes
0 Verzeichnis(se), 40.574.578.688 Bytes frei



Edit 26-11-16:16
Ätsch, jetzt habe ich es selber hingekriegt!

#2 Nanuk

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

-----------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\system32\ld5DC0.tmp
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp4FA6.tmp
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mscornet.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

wende ClearUp an
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp4FA6.tmp

pc neustarten

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread

loesche:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\WINDOWS\system32\1024

scanne mit Panda
http://virus-protect.org/onlinescan.html

scanne mit ewido
http://virus-protect.org/ewido.html
-----------------------------------------------------------------------------------
INFO SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Das blinkende etwas ist weg. Ich habe in der Registry ne menge Zeug gelöscht und nu isser wech. Aber das was du geschrieben hast mach ich, besser is das. Der Lümmel is nämlich langsam wie sau seit dem. Dauert aber bis ich soweit bin. Danke schon mal.

#4 ich hoffe, du hast nicht wild in der registry rumgestellt .....
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Kann schon sein. Ich habe halt mal am Baum geschüttelt. Also halb so schlimm, er geht ja noch. Jetzt ist er auch wieder so schnell wie sonst. Kann der sich selber heilen?
Übrigens, der Schweinepeitschenwurm, ein Schmarotzer, entzieht nicht nur seinem Wirt Nährstoffe, er sorgt auch dafür das es ihm gut geht.
Ist das bei Computer-Viren auch so?

Edit:

Ich arbeite grad die Liste ab. Als Speicherort für die die mcor.reg ist der Desktop keine gute Stelle. Da ich nicht als Admin ins Netz gehe, finde ich die Datei später unter "Dateien von Nanuk" wesentlich besser.

Edit:


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Free XXX Sites List.url
Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir
ncompat.tlb


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Edit:

loesche:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\WINDOWS\system32\1024

"konnte nicht gefunden werden"


Edit: bin fertig.

#6

Zitat

Favorites ~~~

Free XXX Sites List.url
Antivirus Test Online.url

system32 folder ~~~

1024 dir
ncompat.tlb

sind eigentlich da, ueberpruefe es mit Panda
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Erledigt, ist gelöscht.

Macht es was aus, dass AntiVir und ewido zusammen aktiv sind?

#8 ewido ist nur 14 Tage free...ich empfehle:
http://virus-protect.org/ms.html + Guard aktivieren
Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Vielen Dank für die ausführliche Hilfe.