Winfixer & Egdaccess, ich bekomm sie nicht weg

#0
03.12.2005, 10:43
Member

Beiträge: 21
#1 Hallo, nun hab auch ich das Problem.

Ich hab den Winfixer und Instand Access, die sich selbständig installieren.

Ich hab den Spybot 1.4 und das konstenlose Antivir drauf, beide behebn Dinge, dioch die zwei kommen immer wieder.

Antivir meldet immer, dass er Dial/302239 findet, den ich auch lösche, zus. findet er SPR/Dldr.Agent.C, den ich auch lösche, doch er findet immer irgendwelche .cab Dateien in Archiven und sagt, das er in Archiven nicht löscht. Er sagt nicht in welchen Archiven. Ich hab das Gefühl, die Dateinamen änder sich ständig und wenn ich sie im Explorer suche, finde ich sie nicht.

Ich ahb auf meiner Platte einen(alten ?) Hijack gefunden und mal den scan gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 10:41:42, on 03.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\One Guy Coding\Automachron\achron.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\K9\K9.exe
C:\Programme\eMule30a\emule.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.644\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NI.UWAS5_0001_LP51] "C:\WINNT\Downloaded Program Files\UWAS5_0001_LP51NetInstaller.exe" -nag
O4 - HKLM\..\Run: [WinAntiSpyware 2005] C:\Programme\WinAntiSpyware 2005\was5.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess
O4 - Startup: Automachron.lnk = C:\Programme\One Guy Coding\Automachron\achron.exe
O4 - Startup: Launch K9.lnk = C:\Programme\K9\K9.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)
O9 - Extra 'Tools' menuitem: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} -
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} -
O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} -
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} -
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} -
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} -
O16 - DPF: {31564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {32564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {3334504D-0000-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) -
O16 - DPF: {BA749BC1-143E-430D-B1DA-1D2AF67A3658} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553529000} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C1A0EB9-7C49-403B-AB88-426F7AC1AEFE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{34BAFBEC-3C7D-4A56-B878-4DD09BEF6C85}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C1A0EB9-7C49-403B-AB88-426F7AC1AEFE}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C1A0EB9-7C49-403B-AB88-426F7AC1AEFE}: NameServer = 192.168.0.1
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Kann mir jemand helfen.

Ich hab schon verschiedene Posts mit gleicher Problematik gelesen, komme aber nicht dahinter, wie ich die tatsächlichen Übeltäter identifiziere, finde und schliesslich kille.

Danke im voraus.
Seitenanfang Seitenende
03.12.2005, 10:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Stecky2000

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [NI.UWAS5_0001_LP51] "C:\WINNT\Downloaded Program Files\UWAS5_0001_LP51NetInstaller.exe" -nag
O4 - HKLM\..\Run: [WinAntiSpyware 2005] C:\Programme\WinAntiSpyware 2005\was5.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess
O4 - Startup: Automachron.lnk = C:\Programme\One Guy Coding\Automachron\achron.exe
O9 - Extra button: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)
O9 - Extra 'Tools' menuitem: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)

O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} -
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} -
O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} -
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} -
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} -
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} -
O16 - DPF: {31564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {32564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {3334504D-0000-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) -
O16 - DPF: {BA749BC1-143E-430D-B1DA-1D2AF67A3658} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553529000} -

PC neustarten

Download Registry Search by Bobbi Flekman

http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WinAntiSpyware 2005

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

(reinschreiben oder reinkopieren)

WinSoftware

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


Winpfind ---> kopiere hier das Log
http://virus-protect.org/winpfind.html

----------------

dann brauche ich noch mehr, aber erst mal arbeite das ab
Info:
http://virus-protect.org/artikel/spyware/naviprom.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2005, 23:03
Member

Themenstarter

Beiträge: 21
#3 Here we go..

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 03.12.2005 19:48:06 for strings:
; 'winantispyware 2005'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinAntiSpyware 2005"="C:\\Programme\\WinAntiSpyware 2005\\was5.exe"

[HKEY_USERS\S-1-5-21-1343024091-2111687655-2146640691-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WinAntiSpyware 2005]

; End Of The Log...

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 03.12.2005 19:51:34 for strings:
; 'winsoftware'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
FSG! 11.11.2003 16:00:22 236544 C:\WINNT\SYSTEM32\DivXdec.ax
PEC2 08.04.2005 12:17:02 213504 C:\WINNT\SYSTEM32\DWRCS.EXE
PECompact2 08.04.2005 12:17:02 213504 C:\WINNT\SYSTEM32\DWRCS.EXE
PEC2 08.04.2005 12:07:14 44032 C:\WINNT\SYSTEM32\DWRCST.EXE
PECompact2 08.04.2005 12:07:14 44032 C:\WINNT\SYSTEM32\DWRCST.EXE
PECompact2 02.11.2005 06:34:46 2377568 C:\WINNT\SYSTEM32\MRT.exe
aspack 02.11.2005 06:34:46 2377568 C:\WINNT\SYSTEM32\MRT.exe
Umonitor 03.06.2005 08:44:46 551696 C:\WINNT\SYSTEM32\RASDLG.DLL
winsync 10.12.1999 13:00:00 1309184 C:\WINNT\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
03.12.2005 19:44:38 H 54156 C:\WINNT\QTFont.qfn
03.12.2005 19:43:44 S 64 C:\WINNT\CSC\00000001
30.11.2005 20:47:00 S 64 C:\WINNT\CSC\00000002
30.11.2005 16:15:52 S 64 C:\WINNT\CSC\csc1.tmp
03.12.2005 19:45:28 H 1024 C:\WINNT\system32\config\default.LOG
03.12.2005 19:43:50 H 1024 C:\WINNT\system32\config\SAM.LOG
03.12.2005 19:54:18 H 1024 C:\WINNT\system32\config\SECURITY.LOG
03.12.2005 19:57:00 H 1024 C:\WINNT\system32\config\software.LOG
03.12.2005 19:43:40 H 6 C:\WINNT\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 10.12.1999 13:00:00 68880 C:\WINNT\SYSTEM32\access.cpl
Microsoft Corporation 19.06.2003 11:05:04 304912 C:\WINNT\SYSTEM32\appwiz.cpl
Microsoft Corporation 19.06.2003 11:05:04 242448 C:\WINNT\SYSTEM32\DESK.CPL
Microsoft Corporation 10.12.1999 13:00:00 130832 C:\WINNT\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 08:32:28 293376 C:\WINNT\SYSTEM32\inetcpl.cpl
Microsoft Corporation 10.12.1999 13:00:00 121616 C:\WINNT\SYSTEM32\intl.cpl
Microsoft Corporation 10.12.1999 13:00:00 36624 C:\WINNT\SYSTEM32\irprops.cpl
Microsoft Corporation 30.10.2001 07:10:00 77824 C:\WINNT\SYSTEM32\joy.cpl
Microsoft Corporation 10.12.1999 13:00:00 122640 C:\WINNT\SYSTEM32\main.cpl
Microsoft Corporation 10.12.1999 13:00:00 307472 C:\WINNT\SYSTEM32\mmsys.cpl
Kristal Studio 24.01.2001 04:05:32 121856 C:\WINNT\SYSTEM32\Mp3cnfg.cpl
Microsoft Corporation 10.12.1999 13:00:00 17168 C:\WINNT\SYSTEM32\ncpa.cpl
NVIDIA Corporation 18.11.2002 13:15:00 135168 C:\WINNT\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 10.12.1999 13:00:00 42256 C:\WINNT\SYSTEM32\nwc.cpl
Microsoft Corporation 19.06.2003 11:05:04 41232 C:\WINNT\SYSTEM32\odbccp32.cpl
Microsoft Corporation 19.06.2003 11:05:04 92432 C:\WINNT\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 27.05.2003 11:42:58 295936 C:\WINNT\SYSTEM32\QuickTime.cpl
Microsoft Corporation 19.06.2003 11:05:04 83728 C:\WINNT\SYSTEM32\sticpl.cpl
Microsoft Corporation 19.06.2003 11:05:04 129296 C:\WINNT\SYSTEM32\SYSDM.CPL
Microsoft Corporation 10.12.1999 13:00:00 5904 C:\WINNT\SYSTEM32\telephon.cpl
Microsoft Corporation 10.12.1999 13:00:00 61200 C:\WINNT\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINNT\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 29.08.2002 08:32:28 293376 C:\WINNT\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 03.06.2005 08:44:58 66832 C:\WINNT\SYSTEM32\dllcache\msmq.cpl
IBM Corporation 07.10.1999 00:12:54 94720 C:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl
Microsoft Corporation 10.12.1999 13:00:00 42256 C:\WINNT\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINNT\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...
13.10.2004 19:42:18 620 C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Automachron.lnk
29.06.2004 18:45:48 1319 C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Launch K9.lnk

Checking files in %USERPROFILE%\Application Data folder...
29.06.2003 16:44:08 0 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= C:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984}
= %SystemRoot%\system32\faxshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINNT\System32\docprop2.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : C:\WINNT\system32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6224f700-cba3-4071-b251-47cb894244cd}
ButtonText = ICQ Pro : C:\Programme\ICQ\ICQ.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
ButtonText = @shdoclc.dll,-866 :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File and Folders Search ActiveX Control = C:\WINNT\system32\shell32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\system32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
AVSCHED32 C:\Programme\AVPersonal\AVSched32.EXE /min
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min
Synchronization Manager mobsync.exe /logon
NvCplDaemon RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
WinAntiSpyware 2005 C:\Programme\WinAntiSpyware 2005\was5.exe
T-DSL SpeedMgr "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
NI.UWAS5_0001_LP51 "C:\WINNT\Downloaded Program Files\UWAS5_0001_LP51NetInstaller.exe" -nag
NI.UWAS5_0001_LP51 "C:\WINNT\Downloaded Program Files\UWAS5_0001_LP51NetInstaller.exe" -nag


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
internat.exe internat.exe
HijackThis startup scan C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.644\HijackThis.exe /startupscan
Instant Access rundll32.exe EGDACCESS_1069.dll,InstantAccess

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 149
CDRAutoRun 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = C:\WINNT\system32\NETSHELL.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify
= PCANotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif
= wzcdlg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 03.12.2005 20:35:36
Seitenanfang Seitenende
04.12.2005, 00:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Stecky2000

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 10:02
Member

Themenstarter

Beiträge: 21
#5 Hier bin ich wieder,

04.12.2005 09:58 20.992 msclock32.dll
04.12.2005 09:58 6.599 fjkayvsz.dat
04.12.2005 09:52 948 fjkayvsz_navps.dat
22.11.2005 09:15 66.468 fjkayvsz_nav.dat
11.11.2005 18:57 80.744 FNTCACHE.DAT
03.11.2005 21:27 20.992 msplock32.dll
03.11.2005 21:27 240.180 fjkayvsz.exe
02.11.2005 06:34 2.377.568 MRT.exe
10.10.2005 00:31 15.072 spmsg.dll
07.10.2005 07:19 233.744 GDI32.DLL
07.10.2005 07:17 1.638.832 WIN32K.SYS
04.10.2005 12:33 2.700.288 MSHTML.DLL
23.09.2005 12:03 245.520 WINSRV.DLL
23.09.2005 12:03 1.122.576 webvw.dll
23.09.2005 12:03 17.680 linkinfo.dll
23.09.2005 12:03 2.385.168 SHELL32.DLL
05.09.2005 09:18 20.240 xolehlp.dll
05.09.2005 09:18 35.600 mtxlegih.dll
05.09.2005 09:18 122.640 mtxoci.dll
05.09.2005 09:18 71.440 stclient.dll
05.09.2005 09:18 26.896 mtxdm.dll
05.09.2005 09:18 52.496 mtxclu.dll
05.09.2005 09:18 1.200.400 msdtctm.dll
05.09.2005 09:18 739.600 msdtcprx.dll
05.09.2005 09:18 153.872 msdtcui.dll
05.09.2005 09:18 96.016 msdtclog.dll
05.09.2005 09:18 641.296 comuid.dll
05.09.2005 09:18 1.477.904 comsvcs.dll
05.09.2005 09:18 551.184 clbcatq.dll
05.09.2005 09:18 99.088 comrepl.dll
05.09.2005 09:18 41.744 colbact.dll
05.09.2005 09:18 97.040 clbcatex.dll
05.09.2005 09:18 595.728 catsrvut.dll
05.09.2005 09:18 212.240 rpcss.dll
05.09.2005 09:18 36.624 OLECNV32.DLL
05.09.2005 09:18 242.960 es.dll
05.09.2005 09:18 398.608 txfaux.dll
05.09.2005 09:18 165.648 catsrv.dll
05.09.2005 09:18 957.712 OLE32.DLL
02.09.2005 17:31 496.128 MSTIME.DLL
02.09.2005 17:31 458.752 URLMON.DLL
02.09.2005 16:35 192.000 DXTRANS.DLL
02.09.2005 11:07 988.160 DANIM.DLL
02.09.2005 10:24 94.992 UMPNPMGR.DLL
31.08.2005 18:51 409.600 shlwapi.dll
30.08.2005 10:29 2.532.112 cdosys.dll
30.08.2005 09:26 1.233.408 quartz.dll
30.08.2005 05:46 1.833.968 dtcsetup.exe
22.08.2005 10:20 61.200 NWWKS.DLL
17.08.2005 00:31 22.752 spupdsvc.exe
16.08.2005 10:17 768.272 KERNEL32.DLL
16.08.2005 10:17 505.616 NTDLL.DLL
16.08.2005 09:34 100.112 netman.dll
05.08.2005 18:19 252.688 MSIEFTP.DLL
13.07.2005 08:21 88.848 WIN32SPL.DLL
13.07.2005 08:21 81.168 spoolss.dll
12.07.2005 05:59 47.376 spoolsv.exe


mittlerweile habe ich beim Start eine Meldung, dass eien Datei EGDACCEC_1059.DLL nicht gefunden wird und WinAntispy2005 hat sich gerade wieder selbt installiert :-(((


***********************


Sooooo, es sieht so aus, als ob sie nun weg wären, die zwei Übeltäter ;-)))))

Ich hab den Rechner, nachdem sich der Winfixer immer wieder selbst installiert hat, vom Netz getrennt.

Dann hab ich die Prozedur von vorne begonnen. Hijack scan und fixen, noch mal scan und da die zu gefixten noch angezeigt wurden, wieder gefixt, dann waren sie weg. Dann mit Explorer das Winfixer Verzeichnis unter C:\Programme gelöscht und Cleanup gefahren. Dann Rechner gebootet und siehe da, alle weg. Natürlich auch alle was bei mir im Autostart war. Hab dann Antivir und Spybot ganz neu geholt und installiert.

Nun lasse ich den Antivir nochmals suchen, er hat schon einen gefunden, den UWAS...., also den Winfixer, und gelöscht. Mal sehen ob ich das System wirklich sauber bekomme.

Ich werde mich auf jeden Fall noch mal melden. Dennoch schon mal Danke, Sabina. Du hast mir echt weitergeholfen.
Dieser Beitrag wurde am 04.12.2005 um 12:29 Uhr von Stecky2000 editiert.
Seitenanfang Seitenende
04.12.2005, 12:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 der PC ist weiterhin veseucht... sehe die viren ;) ....ich hab ja noch nicht mit der Reinigung begonnen...ich schrieb, dass es 4 Textdateien sind....kopiere also bitte noch die restlichen drei...sonst werden wir nie fertig

Erst wenn ich alles beisammen habe, erstelle ich dir einen Reinigungsweg.....

Zitat

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 12:48
Member

Themenstarter

Beiträge: 21
#7 Ok, wenn Du meinst.... ;-)

Ich hab den datfind jetzt nochmal ausgeführt, hatte nämlich gar nicht richtig gelesen, dass es weiter geht ;-)


Also, Teil1:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\WINNT\system32

04.12.2005 12:53 950 fjkayvsz_navps.dat
04.12.2005 12:53 6.599 fjkayvsz.dat
04.12.2005 12:00 20.992 msclock32.dll
22.11.2005 09:15 66.468 fjkayvsz_nav.dat
11.11.2005 18:57 80.744 FNTCACHE.DAT
03.11.2005 21:27 20.992 msplock32.dll
03.11.2005 21:27 240.180 fjkayvsz.exe
02.11.2005 06:34 2.377.568 MRT.exe
10.10.2005 00:31 15.072 spmsg.dll
07.10.2005 07:19 233.744 GDI32.DLL
07.10.2005 07:17 1.638.832 WIN32K.SYS
04.10.2005 12:33 2.700.288 MSHTML.DLL
23.09.2005 12:03 245.520 WINSRV.DLL
23.09.2005 12:03 1.122.576 webvw.dll
23.09.2005 12:03 17.680 linkinfo.dll
23.09.2005 12:03 2.385.168 SHELL32.DLL
05.09.2005 09:18 20.240 xolehlp.dll
05.09.2005 09:18 35.600 mtxlegih.dll
05.09.2005 09:18 122.640 mtxoci.dll
05.09.2005 09:18 71.440 stclient.dll
05.09.2005 09:18 26.896 mtxdm.dll
05.09.2005 09:18 52.496 mtxclu.dll
05.09.2005 09:18 1.200.400 msdtctm.dll
05.09.2005 09:18 739.600 msdtcprx.dll
05.09.2005 09:18 153.872 msdtcui.dll
05.09.2005 09:18 96.016 msdtclog.dll
05.09.2005 09:18 641.296 comuid.dll
05.09.2005 09:18 1.477.904 comsvcs.dll
05.09.2005 09:18 551.184 clbcatq.dll
05.09.2005 09:18 99.088 comrepl.dll
05.09.2005 09:18 41.744 colbact.dll
05.09.2005 09:18 97.040 clbcatex.dll
05.09.2005 09:18 595.728 catsrvut.dll
05.09.2005 09:18 212.240 rpcss.dll
05.09.2005 09:18 36.624 OLECNV32.DLL
05.09.2005 09:18 242.960 es.dll
05.09.2005 09:18 398.608 txfaux.dll
05.09.2005 09:18 165.648 catsrv.dll
05.09.2005 09:18 957.712 OLE32.DLL
02.09.2005 17:31 496.128 MSTIME.DLL
02.09.2005 17:31 458.752 URLMON.DLL
02.09.2005 16:35 192.000 DXTRANS.DLL
02.09.2005 11:07 988.160 DANIM.DLL
02.09.2005 10:24 94.992 UMPNPMGR.DLL


Teil 2:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

04.12.2005 12:55 24.848 fnd772f16d.9D68DD2A_1AF8_11D4_AB3C_00C04F0971B2
1 Datei(en) 24.848 Bytes
0 Verzeichnis(se), 1.265.999.872 Bytes frei


Teil 3:


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\WINNT

04.12.2005 12:00 1.281.747 WindowsUpdate.log
04.12.2005 11:29 32.640 SchedLgU.Txt
04.12.2005 10:08 1.409 QTFont.for
04.12.2005 10:08 54.156 QTFont.qfn
04.12.2005 09:42 549.345 setupapi.log
02.12.2005 19:51 41 uninstall.log
02.12.2005 19:20 1.681 Sniffer.INI
02.12.2005 19:20 112 NETXRAY.ERR
02.12.2005 18:38 217.454 _detmp.1
27.11.2005 16:31 422 wincmd.ini
27.11.2005 16:30 146 wcx_ftp.ini
10.11.2005 05:36 576.652 iis5.log
10.11.2005 05:36 239.932 comsetup.log
10.11.2005 05:36 1.429 imsins.log
10.11.2005 05:36 13.848 KB896424.log
10.11.2005 05:36 212.447 ocgen.log
10.11.2005 05:36 16.593 ockodak.log
10.11.2005 05:36 43.661 updspapi.log
06.11.2005 17:31 4.951 spupdsvc.log
05.11.2005 11:24 51.834 KB905414.log
05.11.2005 11:23 51.198 KB905749.log
05.11.2005 11:22 70.370 UpdateRollupPack.log
05.11.2005 11:16 3.425 updcustom.dll.log
05.11.2005 11:08 13.845 KB896688-IE6SP1-20051004.130236.log
05.11.2005 11:06 22.993 KB902400.log
05.11.2005 11:05 13.679 KB901017.log
05.11.2005 11:04 15.059 KB900725.log
05.11.2005 11:04 12.226 KB899589.log
05.11.2005 11:04 3.974 KB904706.log
05.11.2005 11:03 3.419 KB905495-IE6SP1-20050805.184113.log
11.08.2005 16:40 18.161 KB893756.log

Teil 4:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\

04.12.2005 12:56 0 sys.txt
04.12.2005 12:56 10.521 system.txt
04.12.2005 12:55 339 systemtemp.txt
04.12.2005 12:54 97.995 system32.txt
04.12.2005 11:59 402.653.184 pagefile.sys
04.12.2005 09:53 429 datFind.bat
02.12.2005 18:42 0 aierrorlog.txt
08.05.2005 11:16 737.716.224 Die Tollkhnen m„nner In Ihren Fliegenden Kisten German.avi
21.02.2005 23:10 42 pdfinfo.ini
11.09.2003 19:01 61 files.ini
06.07.2003 17:43 216.096 ntldr
20.06.2003 19:23 34.724 NTDETECT.COM
20.06.2003 19:07 192 boot.ini
20.06.2003 18:18 0 CONFIG.SYS
20.06.2003 18:18 0 AUTOEXEC.BAT
20.06.2003 18:18 0 MSDOS.SYS
20.06.2003 18:18 0 IO.SYS
19.06.2003 11:05 150.528 arcldr.exe
19.06.2003 11:05 163.840 arcsetup.exe
19 Datei(en) 1.141.044.175 Bytes
0 Verzeichnis(se), 1.265.692.672 Bytes frei


So, aber nu.
Dieser Beitrag wurde am 04.12.2005 um 12:56 Uhr von Stecky2000 editiert.
Seitenanfang Seitenende
04.12.2005, 13:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Stecky2000

nicht alles wird vorhanden sein, kopiere dennoch alles in die Killbox

KILLBOX
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINNT\system32\fjkayvsz_navps.dat
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fnd772f16d.9D68DD2A_1AF8_11D4_AB3C_00C04F0971B2
C:\WINNT\system32\fjkayvsz.dat
C:\WINNT\system32\msclock32.dll
C:\WINNT\system32\fjkayvsz_nav.dat
C:\WINNT\system32\netslv32.dll
C:\WINNT\system32\fjkayvsz.exe
C:\WINNT\Downloaded Program Files\sysinetsvc32.dll
C:\WINNT\Downloaded Program Files\netslv32.dll
C:\WINNT\Downloaded Program Files\IELoader.dll
C:\WINNT\access.exe
C:\WINNT\system32\EGDACCESS_1069.dll
C:\WINNT\Downloaded Program Files\UWAS5_0001_LP51NetInstaller.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten...wenn der PC nicht von allein bootet, starte du neu

suchen/loeschen:
Instant Access

Killbox
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\WinAntiSpyware 2005

PC neustarten

scanne und poste den scanbericht
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 17:40
...neu hier

Beiträge: 3
#9 Hallo zusammen,

auf der Suche nach Hilfe bin ich auf dieses Forum gestoßen. Vielleicht könnt Ihr mir weiter helfen. Mein System habe ich gerade neu aufgesetzt. Verwende die XP Firewall und Antivir. Zuerst habe ich den IE verwendet. Normaler weise benutze ich Firefox. Habe ich jetzt auch wider drauf. Irgendwie habe ich mir wohl den Winfixer eingefangen. Muß ich den jetzt platt machen wenn ich keinen IE mehr benutze?

Hier mal mein Scan:

Logfile of HijackThis v1.99.1
Scan saved at 17:26:32, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\DOKUME~1\DADDEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Kann mir da jemand helfen?


Danke im Voraus

Schlauchnase ;-)
Seitenanfang Seitenende
04.12.2005, 17:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 schlauchnase (feiner Nick lol )

ich sehe keinen Winfixer......

wende CleanUp an
http://virus-protect.org/cleanup.html

dann scanne mit Counterspy und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 18:49
...neu hier

Beiträge: 3
#11 Hallo Sabina,

danke fürs schnelle draufschauen. Im IE popte immer ein Fenster auf und ich sollte den Winfixer runterladen. Gemacht habe ich das nicht. Jedenfalls nicht wissentlich. Allein das das Fenster immer aufging hat schon genervt. Ist man dann schon infiziert? Jedenfalls habe ich vor meinem Post schon mal den Counterspy drüberlaufen lassen. Der hat auch was gefunden (Cydoor), aber ob das der Winfixer war? Keine Ahnung. Ich dachte mir jedenfalls. Wenn ich den IE nicht mehr benutze weiß ich auch nicht ob er weg ist oder? Cleanup habe ich laufen lassen.

Dann Counterspy. Hier das Ergebnis: NULL - er hat nichts gefunden, bin ich clean?

Schlauchnase
Seitenanfang Seitenende
04.12.2005, 19:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 schlauchnase (supertoller Name, ich glaub ich werde meinen ach so gewoehnlichen aendern muessen.... lol )

ueberpruefe die Sicherheitseinstellungen vom IE, bevor du wieder mit ihm surfen solltest:
http://virus-protect.org/ie.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 19:26
...neu hier

Beiträge: 3
#13 @Sabina

Danke für die Hilfe. Das Forum finde ich prima. Habe mir schon einige Tips von der Seite geholt. Ich werde Protecus (Hört sich nach Harry Potter an) gleich in meine Lesezeichen schieben.

Also vielen Dank nochmal.

ach ja, Sabina finde ich eigentlich ganz schön. Lass ihn so...


Schlauchnase
Seitenanfang Seitenende
05.12.2005, 05:09
Member

Themenstarter

Beiträge: 21
#14 MAn, was ein Aufwand....

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 05:08:43, 05.12.2005
+ Report-Checksumme: 12F5DB5D

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{E720B458-B65A-438C-9FF3-B1DF65D7DB3F} -> Spyware.Locators : Gesäubert mit Backup
HKU\S-1-5-21-1343024091-2111687655-2146640691-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\GAIN -> Spyware.Gator : Gesäubert mit Backup
C:\!KillBox\msclock32.dll -> Spyware.NaviPromo : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\WINNT\lctappend.txt -> Spyware.BookedSpace : Gesäubert mit Backup
C:\WINNT\lupdtr.exe -> Spyware.Locator.f : Gesäubert mit Backup
C:\WINNT\system32\msclock32.dll -> Spyware.NaviPromo : Gesäubert mit Backup
C:\WINNT\system32\msplock32.dll -> Spyware.NaviPromo : Gesäubert mit Backup
I:\Jupp\Neu\Norton Antispam 2004 Crack.0xe -> Worm.Torvil.D : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
05.12.2005, 11:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Stecky2000

da waren noch Sachen dabei, die ich nicht gefunden hatte
Scanne mit Panda und poste den scanbericht
http://virus-protect.org/onlinescan.html

und....vermeide in Zukunft ausgerechnet Sicherheits-Software zu cracken...das ist der Gipfel an Unvernuenftigkeit ......

dann kopiere noch mal die 4 Tetdateien, ich befuerchte, dass sich die fjkayvsz.dat umbenannt hat und der Hijacker noch drauf ist.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: