C:\secure32.html

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.12.2005, 18:22
...neu hier

Beiträge: 8
#1 ich glaube ich habe mir einen Virus eingefangen.
Wenn ich den Internetexplorer öffne, kommt statt der Startseite immer C:\secure32.html


Unten rechts befindet sich auch ein roter Kreis mit weißem Kreuz und wenn ich über ihn fahre erscheint die Meldung "your computer is infected"

hier die HijackThis log datei

Logfile of HijackThis v1.99.1
Scan saved at 17:59:13, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Ikarus\GuardNT\GuardNT.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\UAService7.exe
D:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Programme\Microsoft Hardware\Keyboard\type32.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\Olivetti\Aio\Shared\Bin\AplEvm12.exe
D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Computer\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\IKAutoUp.exe
D:\programme\gemeinsame dateien\system\ms1src.exe ?????
D:\Programme\QuickTime\qttask.exe
D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Computer\iPod\bin\iPodService.exe
D:\WINDOWS\system32\paytime.exe
D:\Programme\Olivetti\Aio\Shared\Bin\aplsts12.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - D:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - D:\Programme\INSTAFINK\instafink.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - D:\Programme\RXToolBar\sfcont.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - D:\Programme\RXToolBar\RXToolBar.dll
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] D:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CMESys] "D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [SearchUpgrader] D:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IntelliType] "D:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [sp2ctr] d:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] d:\windows\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [JDSZKHBO] d:\windows\system32\jdszkhbo.exe /install

O4 - HKLM\..\Run: [Guard NT] D:\Programme\Ikarus\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [OLIVETTIEVM] D:\Programme\Olivetti\Aio\Shared\Bin\AplEvm12.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Computer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [winupdates] D:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] D:\WINDOWS\system32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [ms1src] d:\programme\gemeinsame dateien\system\ms1src.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PayTime] D:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe
O4 - HKLM\..\RunOnce: [Panda_cleaner_100739] D:\WINDOWS\system32\ActiveScan\pavdr.exe 100739
O4 - HKLM\..\RunOnce: [Panda_cleaner_41446] D:\WINDOWS\system32\ActiveScan\pavdr.exe 41446

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Computer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Computer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} (WildTangent Active Launcher) - http://install.wildtangent.com/ActiveLauncher/ActiveLauncher.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095787271477
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/photo_activex/PhotoUploader.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFC2A0EB-2F16-4D7B-AFD6-3652F683920E}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFC2A0EB-2F16-4D7B-AFD6-3652F683920E}: NameServer = 138.232.1.4,138.232.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9ABBE3B-80BE-4F37-A3CE-15BE7857E7B0}: NameServer = 138.232.1.4,138.232.1.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - D:\Programme\RXToolBar\sfcont.dll
O23 - Service: Guard NT - Ikarus Software Wien - D:\Programme\Ikarus\GuardNT\GuardNT.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Computer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver OEM12 - HP - D:\WINDOWS\system32\OEMipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - D:\WINDOWS\system32\UAService7.exe

Bitte um schnelle hilfe
Seitenanfang Seitenende
28.12.2005, 20:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 villain

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 textdateien (3 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\

-------------------------------------
Info:
http://virus-protect.org/artikel/spyware/secure_32.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.12.2005, 23:29
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 Logfile of HijackThis v1.99.1
Scan saved at 14:04:39, on 28-12-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\paytime.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\OPScan.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Outlook Express\msimn.exe
C:\hjack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: ScriptInocUI Class - - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D4D4A885-14CD-4B24-ABA8-4130CDA59691} (DownloadManager.DownloadInterface) - http://system.aim4music.com/hostedshops/radio538/DownloadManager.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

DatFindbat:
Map van C:\DOCUME~1\Ilse\LOCALS~1\Temp

28-12-2005 13:17 204 jusched.log
28-12-2005 13:00 0 $b17a2e8.tmp
28-12-2005 12:58 2 CC5CD.tmp
28-12-2005 12:58 2 CC5CC.tmp
28-12-2005 12:58 2 CC5CB.tmp
28-12-2005 12:58 2 CC5CA.tmp
28-12-2005 12:58 2 CC5C9.tmp
28-12-2005 12:58 2 CC5C8.tmp
28-12-2005 12:58 2 CC5C7.tmp
28-12-2005 12:58 2 CC5C6.tmp
28-12-2005 12:58 2 CC5C5.tmp
28-12-2005 12:58 2 CC5C4.tmp
28-12-2005 12:58 2 CC5C3.tmp
28-12-2005 12:58 2 CC5C2.tmp
28-12-2005 12:58 2 CC5C1.tmp
28-12-2005 12:58 2 CC5C0.tmp
28-12-2005 12:58 2 CC5BF.tmp
28-12-2005 12:58 2 CC5BE.tmp
28-12-2005 12:58 2 CC5BD.tmp
28-12-2005 12:58 2 CC5BC.tmp
28-12-2005 12:58 2 CC5BB.tmp
28-12-2005 12:58 2 CC5BA.tmp
28-12-2005 12:58 2 CC5B9.tmp
28-12-2005 12:58 31.049 CC5B8.tmp
28-12-2005 12:58 2 CC5B7.tmp
28-12-2005 12:58 2 CC5B6.tmp
28-12-2005 12:58 2 CC5B5.tmp
28-12-2005 12:58 2 CC5B4.tmp
28-12-2005 12:58 2 CC5B3.tmp
28-12-2005 12:58 2 CC5B2.tmp
28-12-2005 12:58 2 CC5B1.tmp
28-12-2005 12:58 2 CC5B0.tmp
28-12-2005 12:58 2 CC5AF.tmp
28-12-2005 12:58 2 CC5AE.tmp
28-12-2005 12:58 2 CC5AD.tmp
28-12-2005 12:58 31.149 CC5AC.tmp
28-12-2005 12:55 31.001 CC523.tmp
28-12-2005 12:49 31.256 CC3D3.tmp
38 bestand(en) 124.723 bytes
0 map(pen) 33.378.029.568 bytes beschikbaar

Het volume in station C heeft geen naam.
Het volumenummer is 2050-6AEE

Map van C:\WINDOWS\system32

28-12-2005 12:43 473.088 msupdate32.dll
28-12-2005 10:31 29.184 dckfcff.exe
28-12-2005 10:31 227.840 rkywkw.exe
28-12-2005 10:31 67.072 paqeaee.dll
28-12-2005 10:31 227.840 bvqpv.dat
28-12-2005 10:31 8.238 z15.exe
28-12-2005 10:31 3.097 z14.exe
28-12-2005 10:30 7.188 paytime.exe

27-12-2005 15:13 2.262 wpa.dbl
21-12-2005 10:37 1.409 tmp024E3.FOT
21-12-2005 10:37 1.409 tmp1F3E3.FOT
21-12-2005 10:37 1.409 tmp2C3E3.FOT
21-12-2005 10:37 1.409 tmp393E3.FOT
21-12-2005 10:37 1.409 tmp563E3.FOT
21-12-2005 10:37 1.409 tmp613E3.FOT

0 map(pen) 33.378.000.896 bytes beschikbaar

Map van C:\WINDOWS

28-12-2005 13:08 1.021.333 WindowsUpdate.log
28-12-2005 13:07 0 0.log
28-12-2005 13:07 2.048 bootstat.dat
28-12-2005 13:06 32.530 SchedLgU.Txt
28-12-2005 13:06 673 win.ini
28-12-2005 13:06 227 system.ini
28-12-2005 10:38 177.027 setupact.log
28-12-2005 10:31 33 ytert.dll
28-12-2005 10:31 0 timessquare1.dat
28-12-2005 10:31 53 lpbvpv.dat
28-12-2005 10:31 40 teller2.chk
28-12-2005 10:30 68.608 tool4.exe
28-12-2005 10:30 58.368 tool1.exe
28-12-2005 10:30 1.999 desktop.html
28-12-2005 10:30 72.809 kl.exe
28-12-2005 10:30 0 uniq

0 map(pen) 33.378.021.376 bytes beschikbaar

Map van C:\

28-12-2005 14:07 0 sys.txt
28-12-2005 14:07 6.516 system.txt
28-12-2005 14:07 2.025 systemtemp.txt
28-12-2005 14:06 92.728 system32.txt
28-12-2005 13:07 536.399.872 hiberfil.sys
28-12-2005 13:07 805.306.368 pagefile.sys
28-12-2005 13:06 211 boot.ini
28-12-2005 10:41 3.045 secure32.Vhtml
28-12-2005 10:31 8.005 boot.inx

21-12-2005 10:29 26 ioSpecial.ini

0 map(pen) 33.378.017.280 bytes beschikbaar

@Sabina
Man soll darauf achten das sich auf C "secure32.Vhtml"und kein secure32.html
befindet
In diesem Fall wurde neben IBM00001.exe auch noch ein IBM00002.dll gefunden und kein IBM00001.dll

Ein scan bei Panda konnte nicht durchgeführt werden,ActiveX probleme
__________
MfG Argus
Dieser Beitrag wurde am 28.12.2005 um 23:46 Uhr von Arnold editiert.
Seitenanfang Seitenende
29.12.2005, 10:48
...neu hier

Themenstarter

Beiträge: 8
#4 danke für die schnelle hilfe,

das mit dem ceanup habe ich gemacht aber ich kann das kästchen delete prefetch files nicht anklicken.

hier die 4 textdateien:

Verzeichnis von D:\WINDOWS\system32

29.12.2005 10:24 308.288 ikautoup.log
28.12.2005 17:41 0 asfiles.txt
28.12.2005 17:37 2.550 Uninstall.ico
28.12.2005 17:37 1.406 Help.ico
28.12.2005 17:37 1.718 Open.ico
28.12.2005 17:37 1.406 AddQuit.ico
28.12.2005 17:37 5.350 IE.ico
28.12.2005 17:37 9.470 Desktop.ico
28.12.2005 17:37 1.718 Quick.ico
28.12.2005 13:12 7.188 paytime.exe
28.12.2005 12:58 2.206 wpa.dbl
25.12.2005 15:15 10.347 QuickTime.qtp
25.12.2005 15:14 1.485 QuickTimeFavorites.qtr
16.12.2005 10:35 385.024 IKAutoUp.exe
07.12.2005 07:24 383.254 perfh009.dat
07.12.2005 07:24 53.608 perfc009.dat
07.12.2005 07:24 394.500 perfh007.dat
07.12.2005 07:24 64.598 perfc007.dat
07.12.2005 07:24 906.376 PerfStringBackup.INI
02.12.2005 17:30 268.600 FNTCACHE.DAT
02.12.2005 16:37 2 cmd.com
02.12.2005 16:37 2 regedit.com
02.12.2005 16:37 2 taskkill.com
02.12.2005 16:37 2 tasklist.com
02.12.2005 16:37 2 tracert.com
02.12.2005 16:37 2 ping.com
02.12.2005 16:37 2 netstat.com
24.11.2005 15:49 62.464 bszip.dll
10.11.2005 21:17 2.377.568 MRT.exe
27.10.2005 20:37 53.248 dpuGUI10.dll
27.10.2005 20:37 86.016 dpl100.dll
27.10.2005 20:37 593.920 dpuGUI11.dll
27.10.2005 20:37 200.704 dtu100.dll
27.10.2005 20:37 339.968 dpus11.dll
27.10.2005 20:37 57.344 dpv11.dll
27.10.2005 20:37 294.912 dpu11.dll
27.10.2005 20:37 294.912 dpu10.dll
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll


Verzeichnis von D:\DOKUME~1\Georg\LOKALE~1\Temp

29.12.2005 10:42 130 PerfectNavBHOLog.tmp
29.12.2005 10:42 367 jusched.log
22.12.2005 13:45 50.688 lf_F98.tmp
22.12.2005 13:45 50.688 lf_53C.tmp
4 Datei(en) 101.873 Bytes
0 Verzeichnis(se), 12.556.734.464 Bytes frei


Verzeichnis von D:\WINDOWS

29.12.2005 09:39 0 0.log
29.12.2005 09:39 159 wiadebug.log
29.12.2005 09:39 1.724.043 WindowsUpdate.log
29.12.2005 09:39 50 wiaservc.log
29.12.2005 09:39 2.048 bootstat.dat
28.12.2005 18:26 54.156 QTFont.qfn
28.12.2005 18:26 1.026.557 setupapi.log
28.12.2005 17:41 1.058 win.ini
28.12.2005 14:23 174.316 wmsetup.log
28.12.2005 14:23 496 wmsetup10.log
28.12.2005 13:40 7.680 Thumbs.db
28.12.2005 13:12 0 toolbar.exe
28.12.2005 13:12 3.062 secure32.html
28.12.2005 13:11 32.256 tool2.exe
28.12.2005 13:11 72.809 kl.exe
28.12.2005 12:04 1.409 QTFont.for
25.12.2005 15:20 121 GEARInstall.log
19.12.2005 14:21 10 smdat32m.sys
02.12.2005 22:00 285.102 setupact.log
02.12.2005 17:26 33.592 ocmsn.log
02.12.2005 17:26 165.139 ntdtcsetup.log
02.12.2005 17:26 989.691 iis6.log
02.12.2005 17:26 271.492 comsetup.log
02.12.2005 17:26 1.374 imsins.log
02.12.2005 17:26 440.709 tsoc.log
02.12.2005 17:26 29.079 tabletoc.log
02.12.2005 17:26 28.268 KB899587.log
02.12.2005 17:26 101.812 netfxocm.log
02.12.2005 17:26 20.417 medctroc.Log
02.12.2005 17:26 386.686 ocgen.log
02.12.2005 17:26 39.201 msgsocm.log
02.12.2005 17:26 774.652 FaxSetup.log
02.12.2005 17:26 255.764 msmqinst.log
02.12.2005 17:25 14.005 updspapi.log
02.12.2005 17:25 1.374 imsins.BAK
02.12.2005 17:25 27.399 KB896422.log
02.12.2005 17:25 27.450 KB901017.log
02.12.2005 17:25 27.767 KB899591.log
02.12.2005 17:25 27.996 KB896424.log
02.12.2005 17:25 27.374 KB893756.log
02.12.2005 17:24 26.720 KB896423.log
02.12.2005 17:24 27.073 KB883939.log
02.12.2005 17:24 26.039 KB896358.log
02.12.2005 17:24 30.131 KB902400.log
02.12.2005 17:24 22.228 KB890046.log
02.12.2005 17:24 19.678 KB896688.log
02.12.2005 17:24 19.041 KB893066.log
02.12.2005 17:23 19.064 KB899589.log
02.12.2005 17:23 19.383 KB905414.log
02.12.2005 17:23 18.625 KB901214.log
02.12.2005 17:23 11.023 KB903235.log
02.12.2005 17:23 19.173 KB900725.log
02.12.2005 17:23 16.509 KB904706.log
02.12.2005 17:23 16.818 KB905749.log
02.12.2005 17:21 15.608 KB896428.log
02.12.2005 17:19 16.433 KB894391.log
02.12.2005 17:16 16.163 KB890859.log
02.12.2005 17:02 12.785 KB893803v2.log
02.12.2005 16:58 8.357 KB898461.log
02.12.2005 16:53 4.108.149 setupapi.log.1.old
02.12.2005 16:41 234.288 ntbtlog.txt
20.11.2005 14:53 646 Tcsofla.INI
23.10.2005 17:14 638.428 Bobsaver.exe
23.10.2005 17:14 362.880 Bobsaver.scr
23.10.2005 17:14 29.696 mickey32.dll
23.10.2005 17:14 282 system.ini

Verzeichnis von D:\

29.12.2005 10:48 0 sys.txt
29.12.2005 10:48 13.108 system.txt
29.12.2005 10:48 498 systemtemp.txt
29.12.2005 10:48 117.895 system32.txt
29.12.2005 09:38 267.436.032 hiberfil.sys
29.12.2005 09:38 603.979.776 pagefile.sys
03.11.2005 00:57 3.499 data
31.10.2005 16:56 700.416 StubInstaller.exe
16.10.2005 14:24 54.784 lf_788.tmp
16.10.2005 14:24 54.784 lf_A38.tmp
16.10.2005 14:24 54.784 lf_FD8.tmp
16.10.2005 14:24 54.784 lf_770.tmp
16.10.2005 14:24 54.784 lf_1B8.tmp
16.10.2005 14:24 54.784 lf_710.tmp
16.10.2005 14:24 54.784 lf_AA8.tmp
16.10.2005 14:24 54.784 lf_E80.tmp
16.10.2005 14:24 54.784 lf_1D4.tmp
16.10.2005 14:24 54.784 lf_1D8.tmp
16.10.2005 14:24 54.784 lf_7EC.tmp
16.10.2005 14:24 54.784 lf_67C.tmp
16.10.2005 14:24 54.784 lf_E5C.tmp
16.10.2005 14:24 54.784 lf_7F8.tmp
16.10.2005 14:24 54.784 lf_220.tmp
16.10.2005 14:24 54.784 lf_E50.tmp
16.10.2005 14:24 54.784 lf_660.tmp
16.10.2005 14:24 54.784 lf_B14.tmp
16.10.2005 14:24 54.784 lf_81C.tmp
16.10.2005 14:24 54.784 lf_638.tmp
16.10.2005 14:24 54.784 lf_B4C.tmp
16.10.2005 14:24 54.784 lf_594.tmp
16.10.2005 14:24 54.784 lf_2B4.tmp
16.10.2005 14:24 54.784 lf_540.tmp
16.10.2005 14:24 54.784 lf_53C.tmp
16.10.2005 14:24 54.784 lf_C00.tmp
16.10.2005 14:24 54.784 lf_174.tmp
16.10.2005 14:24 54.784 lf_4F8.tmp
16.10.2005 14:24 54.784 lf_D88.tmp
16.10.2005 14:24 54.784 lf_D84.tmp
16.10.2005 14:24 54.784 lf_30C.tmp
16.10.2005 14:24 54.784 lf_EF8.tmp
16.10.2005 14:24 54.784 lf_C68.tmp
16.10.2005 14:24 54.784 lf_C84.tmp
16.10.2005 14:24 54.784 lf_D80.tmp
16.10.2005 14:24 54.784 lf_374.tmp
16.10.2005 14:24 54.784 lf_D78.tmp
16.10.2005 14:24 54.784 lf_480.tmp
16.10.2005 14:24 54.784 lf_478.tmp
16.10.2005 14:24 54.784 lf_CA4.tmp
16.10.2005 14:24 54.784 lf_CC4.tmp
16.10.2005 14:24 54.784 lf_CD0.tmp
16.10.2005 14:24 54.784 lf_408.tmp
16.10.2005 14:24 54.784 lf_434.tmp
16.10.2005 14:24 54.784 lf_B2C.tmp
16.10.2005 14:24 54.784 lf_424.tmp
16.10.2005 14:24 54.784 lf_874.tmp
Seitenanfang Seitenende
29.12.2005, 12:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 -----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

D:\WINDOWS\system32\paytime.exe
D:\WINDOWS\system32\sndcfg16.exe
D:\WINDOWS\system32\cmd.com
D:\WINDOWS\system32\regedit.com
D:\WINDOWS\system32\taskkill.com
D:\WINDOWS\system32\tasklist.com
D:\WINDOWS\system32\tracert.com
D:\WINDOWS\system32\ping.com
D:\WINDOWS\system32\netstat.com
D:\WINDOWS\system32\bszip.dll
D:\Programme\winupdates\winupdates.exe
D:\DOKUME~1\Georg\LOKALE~1\Temp\PerfectNavBHOLog.tmp
D:\DOKUME~1\Georg\LOKALE~1\Temp\lf_F98.tmp
D:\DOKUME~1\Georg\LOKALE~1\Temp\lf_53C.tmp
D:\WINDOWS\toolbar.exe
D:\WINDOWS\secure32.html
D:\WINDOWS\tool2.exe
D:\WINDOWS\kl.exe
D:\WINDOWS\smdat32m.sys
D:\WINDOWS\Bobsaver.exe
D:\WINDOWS\Bobsaver.scr
D:\WINDOWS\mickey32.dll
D:\data
D:\StubInstaller.exe
d:\programme\gemeinsame dateien\system\ms1src.exe

D:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll
D:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll
D:\Programme\Gemeinsame Dateien\CMEII\GController.dll
D:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll
D:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll
D:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll
D:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll
D:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll
D:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
D:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
D:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll
D:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE

D:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
D:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
D:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
D:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
D:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
D:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
D:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
d:\windows\system32\jdszkhbo.exe
d:\windows\system32\sp2ctr.exe
d:\windows\system32\evthtm.exe

D:\lf_788.tmp
D:\lf_A38.tmp
D:\lf_FD8.tmp
D:\lf_770.tmp
D:\lf_1B8.tmp
D:\lf_710.tmp
D:\lf_AA8.tmp
D:\lf_E80.tmp
D:\lf_1D4.tmp
D:\lf_1D8.tmp
D:\lf_7EC.tmp
D:\lf_67C.tmp
D:\lf_E5C.tmp
D:\lf_7F8.tmp
D:\lf_220.tmp
D:\lf_E50.tmp
D:\lf_660.tmp
D:\lf_B14.tmp
D:\lf_81C.tmp
D:\lf_638.tmp
D:\lf_B4C.tmp
D:\lf_594.tmp
D:\lf_2B4.tmp
D:\lf_540.tmp
D:\lf_53C.tmp
D:\lf_C00.tmp
D:\lf_174.tmp
D:\lf_4F8.tmp
D:\lf_D88.tmp
D:\lf_D84.tmp
D:\lf_30C.tmp
D:\lf_EF8.tmp
D:\lf_C68.tmp
D:\lf_C84.tmp
D:\lf_D80.tmp
D:\lf_374.tmp
D:\lf_D78.tmp
D:\lf_480.tmp
D:\lf_478.tmp
D:\lf_CA4.tmp
D:\lf_CC4.tmp
D:\lf_CD0.tmp
D:\lf_408.tmp
D:\lf_434.tmp
D:\lf_B2C.tmp
D:\lf_424.tmp
D:\lf_874.tmp

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - D:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - D:\Programme\INSTAFINK\instafink.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - D:\Programme\RXToolBar\sfcont.dll

O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - D:\Programme\RXToolBar\RXToolBar.dll
O4 - HKLM\..\Run: [CMESys] "D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe
O4 - HKLM\..\Run: [SearchUpgrader] D:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [sp2ctr] d:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] d:\windows\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [JDSZKHBO] d:\windows\system32\jdszkhbo.exe /install
O4 - HKLM\..\Run: [ms1src] d:\programme\gemeinsame dateien\system\ms1src.exe /install
O4 - HKLM\..\Run: [PayTime] D:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe
O4 - HKLM\..\RunOnce: [Panda_cleaner_100739] D:\WINDOWS\system32\ActiveScan\pavdr.exe 100739
O4 - HKLM\..\RunOnce: [Panda_cleaner_41446] D:\WINDOWS\system32\ActiveScan\pavdr.exe 41446
O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - D:\Programme\RXToolBar\sfcont.dll

PC neustarten

deinstalliere:--> loesche
D:\Programme\RXToolBar\
D:\Programme\INSTAFINK
D:\Programme\Common files\SearchUpgrader
D:\Programme\Gemeinsame Dateien\CMEII
D:\Programme\Gemeinsame Dateien\GMT
PerfectNav

lade und scanne
ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.exe
erklaerung:
http://www.f-secure.com/v-descs/sdbot_mb.shtml

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2005, 13:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Arnold ;)
danke fuer die logs...uebrigens, du sollst doch nicht deinen XP verseuchen .... obwohl ich weiss, dass du es machst, weil ich das doofe win98 nicht mehr sehen kann ;)

http://virus-protect.org/artikel/spyware/ibm00000.html
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp

http://virus-protect.org/artikel/spyware/secure_32.html

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2007, 10:02
...neu hier

Beiträge: 9
#7 hi ihr!

habe ein problem mit secure32.html
mein 11-jähriger sohn, der sich für einen computer-hero hält, hat es auf irgendener hackerpage eingefangen und weder norton-AV noch spybot-S&D konnten es verhindern..

habe gesehen, dass ihr vor ca 1 jahr wegen dieses problems gemailt habt und wollte wissen ob das wirklich gefährlich ist oder nur den internetexplorer betrifft, arbeite nämlich ohnehin mit firefox und es funktioniert auch eigentlich mein system einwandfrei (zumindest merk ich nichts)

wenn es also tatsächlich notwendig ist, dass man das zeug entfernt wäre ich über hilfe sehr dankbar...
Seitenanfang Seitenende
12.01.2007, 13:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 willismaya

natuerlich muss der Compi durchgescheckt werden ;)
arbeite das ab und poste fie logs hier
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2007, 20:15
...neu hier

Beiträge: 9
#9 Hi! sorry dass ich mich erst jetzt melde aber sitze erst jetzt wieder vor der kiste!
erstmal danke für die antwort!
hier ist das scanergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 20:12:41, on 12.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\msasvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\TraXEx\TraXEx.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Dokumente und Einstellungen\georg\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlido11custreg?clid=1031
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe



"georg" - 07-01-12 20:28:44 Service Pack 2
ComboFix 07-01-12 - Running from: "C:\Dokumente und Einstellungen\georg\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2006-12-12 to 2007-01-12 ))))))))))))))))))))))))))))))))))


2007-01-09 18:48 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP
2007-01-09 18:18 <DIR> d-------- C:\WINDOWS\CSC
2007-01-08 18:01 <DIR> d-------- C:\Programme\SpywareBot
2007-01-08 17:56 <DIR> d-------- C:\Programme\XoftSpySE

2007-01-06 12:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Avg7
2007-01-05 20:11 2,969 --a------ C:\WINDOWS\system32\autosys.exe
2007-01-05 20:10 3,584 --a------ C:\WINDOWS\system32\msasvc.exe



(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-12 20:26 -------- d-------- C:\Programme\mozilla firefox 2 beta 2
2007-01-12 20:05 -------- d-------- C:\Programme\mozilla thunderbird
2007-01-12 19:50 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-01-08 20:06 -------- d-------- C:\Programme\windows nt
2007-01-08 06:36 -------- d-------- C:\DOKUME~1\georg\Anwendungsdaten\adobe
2007-01-07 11:44 -------- d-------- C:\Programme\brownie
2007-01-07 11:26 -------- d-------- C:\Programme\google
2007-01-06 14:06 -------- d-------- C:\Programme\java
2007-01-06 11:09 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
2007-01-05 20:31 -------- d-------- C:\DOKUME~1\georg\Anwendungsdaten\symantec
2006-12-08 10:36 -------- d-------- C:\DOKUME~1\georg\Anwendungsdaten\macromedia
2006-11-22 17:47 -------- d---s---- C:\DOKUME~1\georg\Anwendungsdaten\microsoft
2006-11-21 20:35 -------- d-------- C:\Programme\yahoo!


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"SoundMan"="SOUNDMAN.EXE"
"Acronis True Image Monitor"="\"D:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe\""
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"iTunesHelper"="\"D:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"RegistryMechanic"=""
"AutoSys"="C:\\WINDOWS\\system32\\autosys.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSaveSettings"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - georg.job

Completion time: 07-01-12 20:30:13




C:\WINDOWS\system32

12.01.2007 20:26 63.184 nvapps.xml
12.01.2007 19:45 12.963 tablet.dat
12.01.2007 19:44 2.206 wpa.dbl
10.01.2007 18:06 131.207 Readiris.DUS
09.01.2007 19:09 2.739 ikhcore.log
08.01.2007 20:06 49.372 perfc007.dat
08.01.2007 20:06 40.972 perfc009.dat
08.01.2007 20:06 320.424 perfh007.dat
08.01.2007 20:06 314.644 perfh009.dat
08.01.2007 20:06 730.820 PerfStringBackup.INI
06.01.2007 18:19 321.168 DIG_ChannelTV.dat
06.01.2007 14:06 9.132 jupdate-1.5.0_10-b03.log
06.01.2007 11:09 43.520 CmdLineExt03.dll
05.01.2007 20:11 3.584 msasvc.exe
05.01.2007 20:10 2.969 autosys.exe

09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
07.11.2006 17:26 34 BD2030.DAT
05.11.2006 13:47 8.891 jupdate-1.5.0_09-b03.log
01.11.2006 11:44 228.000 FNTCACHE.DAT
10.10.2006 19:13 91.136 kswdmcap.ax
10.10.2006 19:12 11.776 xolehlp.dll
10.10.2006 19:12 101.376 txflog.dll
10.10.2006 19:12 59.392 stclient.dll
10.10.2006 19:12 398.848 rpcss.dll
10.10.2006 19:12 37.376 olecnv32.dll
10.10.2006 19:12 74.752 olecli32.dll
10.10.2006 19:12 1.286.656 ole32.dll
10.10.2006 19:12 91.136 mtxoci.dll
10.10.2006 19:12 66.560 mtxclu.dll
10.10.2006 19:12 161.280 msdtcuiu.dll
10.10.2006 19:12 956.416 msdtctm.dll
10.10.2006 19:12 426.496 msdtcprx.dll
10.10.2006 19:12 243.200 es.dll
10.10.2006 19:12 539.648 comuid.dll
10.10.2006 19:12 1.267.712 comsvcs.dll
10.10.2006 19:12 97.792 comrepl.dll
10.10.2006 19:12 60.416 colbact.dll
10.10.2006 19:12 498.688 clbcatq.dll
10.10.2006 19:12 110.080 clbcatex.dll
10.10.2006 19:12 625.152 catsrvut.dll
10.10.2006 19:12 225.792 catsrv.dll
10.10.2006 19:12 100.352 6to4svc.dll
10.10.2006 19:12 617.472 comctl32.dll
10.10.2006 19:12 3.079.168 mshtml.dll
10.10.2006 19:12 1.084.416 msxml3.dll
10.10.2006 19:12 1.497.088 shdocvw.dll



C:\DOKUME~1\georg\LOKALE~1\Temp

12.01.2007 20:31 173 jusched.log
27.04.2003 12:46 1.114.624 debug.tmp
2 Datei(en) 1.114.797 Bytes
0 Verzeichnis(se), 16.020.529.152 Bytes frei



C:\WINDOWS

12.01.2007 19:45 0 0.log
12.01.2007 19:45 50 wiaservc.log
12.01.2007 19:45 159 wiadebug.log
12.01.2007 19:44 2.048 bootstat.dat
10.01.2007 18:24 32.592 SchedLgU.Txt
10.01.2007 18:23 79.135 WindowsUpdate.log
10.01.2007 18:06 830 win.ini
09.01.2007 18:25 195.134 setupact.log
09.01.2007 18:18 113.840 ntbtlog.txt
08.01.2007 20:10 689.114 iis6.log
08.01.2007 20:10 118.040 ntdtcsetup.log
08.01.2007 20:10 193.148 comsetup.log
08.01.2007 20:10 264.150 tsoc.log
08.01.2007 20:10 27.687 tabletoc.log
08.01.2007 20:10 1.891 imsins.log
08.01.2007 20:10 98.019 netfxocm.log
08.01.2007 20:10 31.326 ocmsn.log
08.01.2007 20:10 294.400 ocgen.log
08.01.2007 20:10 39.764 MedCtrOC.log
08.01.2007 20:10 28.102 msgsocm.log
08.01.2007 20:10 551.167 FaxSetup.log
08.01.2007 20:10 185.424 msmqinst.log
08.01.2007 20:06 4.507 imsins.BAK
08.01.2007 20:06 446.930 setupapi.log
08.01.2007 20:06 35.120 wmsetup.log
06.01.2007 17:26 116 NeroDigital.ini
06.01.2007 14:36 5.190 mozver.dat
05.01.2007 18:33 10.614 KB893803v2.log
27.12.2006 16:05 432 BRWMARK.INI
25.12.2006 20:13 1.161 ie7_main.log
16.11.2006 12:17 316.640 WMSysPr9.prx
16.11.2006 12:06 119.896 DirectX.log
16.11.2006 12:03 386 DXError.log
07.11.2006 17:27 40 BRDIAG.INI
07.11.2006 17:27 141 BRVIDEO.INI
07.11.2006 17:27 9.013 HL-2030.INI
07.11.2006 17:27 23 Brownie.ini
01.11.2006 09:23 24.954 updspapi.log
15.10.2006 12:11 112 pagesuit.ini


C:\WINDOWS\temp


C:\WINDOWS\Downloaded Program Files

25.06.2006 12:50 1.793 erma.inf
26.03.2006 19:03 65 desktop.ini
10.11.2005 13:05 876 jinstall-1_5_0_06.inf
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
25.07.2002 16:05 172.032 isusweb.dll
6 Datei(en) 395.950 Bytes
0 Verzeichnis(se), 16.020.488.192 Bytes frei


Verzeichnis von C:\

12.01.2007 20:56 0 sys.txt
12.01.2007 20:55 550 down.txt
12.01.2007 20:54 117 tmp.txt
12.01.2007 20:51 5.979 system.txt
12.01.2007 20:48 339 systemtemp.txt
12.01.2007 20:39 101.209 system32.txt
12.01.2007 20:30 5.731 ComboFix.txt
12.01.2007 19:44 536.399.872 hiberfil.sys
12.01.2007 19:44 805.306.368 pagefile.sys
09.01.2007 18:24 4.481 smitfiles.txt
05.01.2007 20:11 2 2082563941
28.03.2006 14:00 211 boot.ini
26.03.2006 19:04 0 IO.SYS
26.03.2006 19:04 0 CONFIG.SYS
26.03.2006 19:04 0 MSDOS.SYS
26.03.2006 19:04 0 AUTOEXEC.BAT
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.08.2001 14:00 4.952 bootfont.bin
24.05.2001 11:59 162.304 UNWISE.EXE
20 Datei(en) 1.342.290.863 Bytes
0 Verzeichnis(se), 16.020.484.096 Bytes frei
Dieser Beitrag wurde am 12.01.2007 um 20:57 Uhr von willismaya editiert.
Seitenanfang Seitenende
12.01.2007, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 willismaya

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareBot


in edit und klicke "Ok".
Notepad wird sich oeffnen - kopiere den text ab


Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|AutoSys

Files to delete:
C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\system32\autosys.exe
C:\2082563941

Folders to delete:
C:\Programme\SpywareBot
C:\Programme\XoftSpySE
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

------------------------
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

»»
scanne und poste hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2007, 10:00
...neu hier

Beiträge: 9
#11 schönen guten morgen!

hier das regsearch ergebnis:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 13.01.2007 09:59:04 for strings:
; 'spywarebot'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spywarebot.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spywarebot.com\www]

[HKEY_CURRENT_USER\Software\SpywareBot]

[HKEY_CURRENT_USER\Software\SpywareBot\SpywareBot]

[HKEY_CURRENT_USER\Software\SpywareBot\SpywareBot\RegInfo]

[HKEY_CURRENT_USER\Software\SpywareBot\SpywareBot\Settings]

; End Of The Log...



beim ausführen von avenger erscheint folgende fehlermeldung:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!



soll ich trotzdem fortfahren und smitfraud.fix abarbeiten...?
Dieser Beitrag wurde am 13.01.2007 um 10:14 Uhr von willismaya editiert.
Seitenanfang Seitenende
13.01.2007, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 du hast das avenger script nicht korrekt agewendet, wahrschenlich hast du "zitat" mit reinkopiert, oder was falsches angehakt

also: noch mal, aber korrekt

gehe vorher in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - SpywareBot
loesche, was oben angefuehrt ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2007, 20:27
...neu hier

Beiträge: 9
#13 o.k.!

mein fehler war dass ich einen return am ende der letzten zeile vergessen hatte

jetzt hats funktioniert und das problem scheint auch tatsächlich behoben zu sein!!!

der scan mit avg läuft zwar noch aber secure32.html ist futsch!

wie kann ich mich für die hilfe erkenntlich zeigen?
wär mir ein anliegen!!!

schick noch sicherheitshalber die reports der letzten aktionen:
(den avg scan report vermutlich erst später oder morgen)

vielen, vielen dank erstmal!!!

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oilubcax

*******************

Script file located at: \??\C:\WINDOWS\system32\wnvyfgbj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\msasvc.exe not found!
Deletion of file C:\WINDOWS\system32\msasvc.exe failed!

Could not process line:
C:\WINDOWS\system32\msasvc.exe
Status: 0xc0000034



File C:\WINDOWS\system32\autosys.exe not found!
Deletion of file C:\WINDOWS\system32\autosys.exe failed!

Could not process line:
C:\WINDOWS\system32\autosys.exe
Status: 0xc0000034

File C:\2082563941 deleted successfully.
Folder C:\Programme\SpywareBot deleted successfully.
Folder C:\Programme\XoftSpySE deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|AutoSys deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


SmitFraudFix v2.132

Scan done at 19:35:07,20, 13.01.2007
Run from C:\Dokumente und Einstellungen\georg\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\georg


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\georg\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\georg\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End




Logfile of HijackThis v1.99.1
Scan saved at 19:58:07, on 13.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\TraXEx\TraXEx.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Dokumente und Einstellungen\georg\Desktop\hijack\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlido11custreg?clid=1031
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe



hier nun auch noch der avg scan bericht:

AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:11:58 13.01.2007

+ Scan-Ergebnis:



C:\System Volume Information\_restore{C17C0CC4-2A7A-484A-8082-052387B0F292}\RP209\A0023967.exe -> Downloader.Small.dgk : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{C17C0CC4-2A7A-484A-8082-052387B0F292}\RP210\A0024018.exe -> Downloader.Small.dgk : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{C17C0CC4-2A7A-484A-8082-052387B0F292}\RP209\A0023966.exe -> Hijacker.Costrat.z : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{C17C0CC4-2A7A-484A-8082-052387B0F292}\RP210\A0024020.exe -> Hijacker.Costrat.z : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{C17C0CC4-2A7A-484A-8082-052387B0F292}\RP212\A0024168.exe -> Hijacker.Costrat.z : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{C17C0CC4-2A7A-484A-8082-052387B0F292}\RP220\A0025352.exe -> Trojan.Sinowal.bh : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{C17C0CC4-2A7A-484A-8082-052387B0F292}\RP219\A0025349.exe -> Trojan.Small : Mit Backup gesäubert (unter Quarantäne gestellt).
F:\EXT\Eigene Dateien\schule\001_kunst und unterricht_hefte___ab 162\heft_257_2001-11_multimediale präsentationen_software-cd\software_cd-rom\software_auswahl_freeware\Morpher\MORPH31E.EXE -> Worm.Brontok.a : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende
Dieser Beitrag wurde am 13.01.2007 um 21:15 Uhr von willismaya editiert.
Seitenanfang Seitenende
14.01.2007, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 gehe in die registry
Start - Ausfuehren - regedit
oben links - bearbeiten - suchen - spywarebot

loesche, was du findest

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spywarebot.com

HKEY_CURRENT_USER\Software\SpywareBot

PC neustarten

»»
dann sollte wieder alles i.o. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 09:54
...neu hier

Beiträge: 9
#15 die SpywareBot sachen hab ich schon gestern rausgelöscht

unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
sind noch:

spyware-best.com
spywareknight.com
spywarelabs.com
spywarereno.com
spywarequake.info
spywarescraper.com
spywaresheriff.com
spyware-stop.com
spywarestrike.com

soll ich davon auch was löschen???


außerdem meldet sich bei jedem mal starten spybot-search&destroy

mit der Meldung dass wichtige registrierungsdatenbankeinträge geändert wurden und mit der frage ob er erlauben oder verbieten soll,
und zwar immer wieder dieselben!

und egal was man anklickt, beim nächsten neustart kommen sie wieder.

es sind folgende 7:


Kategorie: Browser Page
Änderung: Wert geändert
Eintrag: Local Page
Alte Datei: secure32.html
Neue Datei: C\WINDOWS?SYSTEM§"?blank.htm

Kategorie: Browser Page
Änderung: Wert geändert
Eintrag: Local Page
Alte Datei: C:\secure32.html
Neue Datei: http://www.google.com

Kategorie: Browser Page
Änderung: Wert gelöscht
Eintrag: Default_Page_URL
Alte Datei: C:\secure32.html
Neue Datei:

Kategorie: Browser Page
Änderung: Wert geändert
Eintrag: Local Page
Alte Datei: C:\secure32.html
Neue Datei: C:\windows\system32\blank.html

Kategorie: Browser Page
Änderung: Wert geändert
Eintrag: Start Page
Alte Datei: C:\secure32.html
Neue Datei: http://www.microsoft.com...etc

Kategorie: Browser Page
Änderung: Wert geändert
Eintrag: Default_Page_URL
Alte Datei: C:\secure32.html
Neue Datei: http://www.microsoft.com...etc

Kategorie: System Startup global entry
Änderung: Wert gelöscht
Eintrag: AutoSys
Alte Datei: C:\windows\system32\autosys.exe
Neue Datei:


sollte ich beunruhigt sein...?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: