Home » Spyware & Browser Hijacker Support Forum » Virus oder Spyware áls neues Icon auf dem Desktop » Themenansicht

Virus oder Spyware áls neues Icon auf dem Desktop

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.12.2005, 22:49
Micky 36
Member

Beiträge: 38
#1 Hallo, wer kann mir helfen?
Seit gestern habe ich so ein neues Icon auf dem Desktop wo es um Spielcasino etc. geht. immer will sich dieses Programm ins Internet einwählen.

Hier genauere Infos:
Auf dem Desktop befindet sich beim hochfahren eine Reihe von Icons: Von oben nach unten 6 Stück die die gesamte Höhe abdecken.

Gambling
Dating
Pharmacy
XXX
Spyware
Insurance

darunter noch ein X zum schliessen

Mann kann nichts anklicken, auch nicht mit der rechten Maustaste.
Dieses Programm versucht dann nur immer sich ins Internet einzuwählen.


Wenn ich jetzt mein Anti Virus Programm starte, bricht das mit einer Fehlermeldung ab die lautet AVWIN.EXE kann nicht ausgeführt werden Problembericht senden? Auch Adaware führt das Antivirus Programm nicht mehr aus. Ich bin wirklich am Ende.

Hier mal die Log Datei von Hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\Ahead\InCD\InCD.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\MichaelP\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeansandmore.de/
R3 - URLSearchHook: (no name) - {51CE9A60-A9CD-D349-1BC2-44D57CBF59E5} - new32.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MNI.UWFX5U_0001_LP1710] "C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F39RRXOW\WinFixer2005ScannerInstallDE[1].exe"
O4 - HKLM\..\Run: [xwiz] NsCplTray.exe
O4 - HKLM\..\Run: [TForm1] iesetupdll.exe
O4 - HKLM\..\Run: [stnospy] D:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [PowerBar] "D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [UnSpyPC] "D:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] EXE32EXE.exe
O4 - HKCU\..\Run: [utsgmon] TemplateDongle.exe
O4 - HKCU\..\Run: [msag] cnftips.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for ø : C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-18.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 85.255.115.42,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 85.255.115.42 85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{E386FA33-FA68-4507-AD01-8710BB191EF9}: NameServer = 85.255.115.42,85.255.112.117

Bitte wer kennt sich damit aus und kann mir helfen?

Gruß micky
Seitenanfang Seitenende
28.12.2005, 23:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Micky 36


das ist der Wareout und Winfixer....

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien (2 Monate reichen)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

kopiere das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.12.2005, 23:55
Micky 36
Member

Themenstarter

Beiträge: 38
#3 Hallo Sabina,
zuerst mal danke für Deine Hilfe.
Ich arbeite mich gerade durch Deine Anweisungen:

hier mal die Kopie der letzten beiden Monate:

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\system32

27.12.2005 22:04 36.864 intercept.dll
27.12.2005 21:14 2.206 wpa.dbl
27.12.2005 19:05 4.984 close.bmp
27.12.2005 19:05 19.712 insurance.bmp
27.12.2005 11:07 11.772 spyware.bmp
27.12.2005 11:07 21.224 xxx.bmp
27.12.2005 11:07 21.872 pharmacy.bmp
27.12.2005 11:06 21.872 dating.bmp
27.12.2005 11:06 23.480 gambling.bmp
27.12.2005 11:06 387 idesk.conf
27.12.2005 11:06 155.648 exhsk.dll
09.12.2005 01:21 2.723.680 MRT.exe
10.11.2005 00:29 189.792 FNTCACHE.DAT
30.10.2005 07:21 314.508 perfh009.dat
30.10.2005 07:21 320.094 perfh007.dat
30.10.2005 07:21 49.174 perfc007.dat
30.10.2005 07:21 40.836 perfc009.dat
30.10.2005 07:21 732.342 PerfStringBackup.INI
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys

Für mich steht hier nur Bahnhof!

Dann weiter:
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\DOKUME~1\MichaelP\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS

28.12.2005 23:50 1.315.372 WindowsUpdate.log
28.12.2005 23:45 12.689 KB905915.log
28.12.2005 23:43 0 0.log
28.12.2005 23:42 2.048 bootstat.dat
28.12.2005 23:41 32.622 SchedLgU.Txt
27.12.2005 22:04 36.864 intercept.dll
27.12.2005 21:12 275.186 setupapi.log
27.12.2005 19:21 408 LEXSTAT.INI
27.12.2005 11:14 1.125 winamp.ini
27.12.2005 11:07 4.090 rdt.ini
24.12.2005 22:40 478 setuplog.txt
22.12.2005 20:20 216 wiadebug.log
22.12.2005 19:30 47 wiaservc.log
21.12.2005 10:06 116 NeroDigital.ini
16.12.2005 20:18 593.950 iis6.log
16.12.2005 20:18 113.518 ntdtcsetup.log
16.12.2005 20:18 183.126 comsetup.log
16.12.2005 20:18 1.393 imsins.log
16.12.2005 20:18 24.039 ocmsn.log
16.12.2005 20:18 234.638 tsoc.log
16.12.2005 20:18 25.729 tabletoc.log
16.12.2005 20:18 7.130 KB910437.log
16.12.2005 20:18 260.258 ocgen.log
16.12.2005 20:18 87.455 netfxocm.log
16.12.2005 20:18 20.802 medctroc.Log
16.12.2005 20:18 25.269 msgsocm.log
16.12.2005 20:18 493.090 FaxSetup.log
16.12.2005 20:18 162.616 msmqinst.log
16.12.2005 20:18 17.916 updspapi.log
09.11.2005 20:50 14.347 KB896424.log
31.10.2005 08:50 189.539 setupact.log
28.10.2005 13:20 18.285 KB896688.log
12.10.2005 08:28 12.971 CDPlayer.ini
11.10.2005 21:43 19.051 KB901017.log
11.10.2005 21:43 21.458 KB902400.log
11.10.2005 21:43 13.383 KB899589.log
11.10.2005 21:43 13.704 KB905414.log
11.10.2005 21:43 13.529 KB900725.log
11.10.2005 21:43 11.340 KB904706.log
11.10.2005 21:42 11.977 KB905749.log
29.09.2005 11:09 70.851 wmsetup.log
29.09.2005 11:09 316.640 WMSysPr9.prx

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\

28.12.2005 23:54 0 sys.txt
28.12.2005 23:52 10.441 system.txt
28.12.2005 23:52 127 systemtemp.txt
28.12.2005 23:48 99.341 system32.txt
28.12.2005 23:42 267.964.416 hiberfil.sys
28.12.2005 23:42 402.653.184 pagefile.sys
26.04.2005 19:20 732 log.txt
24.09.2004 11:14 211 boot.ini
24.09.2004 11:03 47.564 NTDETECT.COM
24.09.2004 11:03 251.184 ntldr
27.06.2004 12:09 161 TO_InstallLog.txt
20.03.2004 15:35 122 dl.log
06.02.2004 21:37 0 CONFIG.SYS
06.02.2004 21:37 0 MSDOS.SYS
06.02.2004 21:37 0 IO.SYS
06.02.2004 21:37 0 AUTOEXEC.BAT
18.08.2001 13:00 4.952 bootfont.bin
17 Datei(en) 671.032.435 Bytes
0 Verzeichnis(se), 2.221.137.920 Bytes frei


12/29/05 00:03:07 [Info]: BlackLight Engine 1.0.30 initialized
12/29/05 00:03:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/29/05 00:03:07 [Note]: 7019 4
12/29/05 00:03:07 [Note]: 7005 0
12/29/05 00:03:12 [Note]: 7006 0
12/29/05 00:03:12 [Note]: 7011 1544
12/29/05 00:03:12 [Note]: 7018 204
12/29/05 00:03:12 [Info]: Hidden process: C:\WINDOWS\system32\idemlog.exe
12/29/05 00:03:12 [Note]: FSRAW library version 1.7.1014
12/29/05 00:03:35 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/29/05 00:03:35 [Note]: 10002 1
12/29/05 00:03:37 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/29/05 00:03:37 [Note]: 10002 1
12/29/05 00:03:38 [Info]: Hidden file: C:\WINDOWS\system32\csgri.exe
12/29/05 00:03:38 [Note]: 7002 32
12/29/05 00:03:38 [Note]: 7003 1
12/29/05 00:03:38 [Note]: 10002 1
12/29/05 00:03:39 [Info]: Hidden file: C:\WINDOWS\system32\dmnjy.exe
12/29/05 00:03:39 [Note]: 7002 32
12/29/05 00:03:39 [Note]: 7003 1
12/29/05 00:03:39 [Note]: 10002 1
12/29/05 00:03:39 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
12/29/05 00:03:39 [Note]: 10002 1
12/29/05 00:03:39 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/29/05 00:03:40 [Note]: 10002 1
12/29/05 00:03:40 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
12/29/05 00:03:40 [Note]: 10002 1
12/29/05 00:03:42 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
12/29/05 00:04:40 [Note]: 7002 5
12/29/05 00:04:40 [Note]: 7003 1
12/29/05 00:04:40 [Note]: 10002 1
12/29/05 00:04:42 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/29/05 00:04:42 [Note]: 10002 1
12/29/05 00:05:26 [Note]: 7007 0

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"PowerBar" = ""D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime" ["Cyberlink, Corp."]
"desktop" = "C:\WINDOWS\system32\idemlog.exe" [empty string]
"UnSpyPC" = ""D:\Programme\UnSpyPC\UnSpyPC.exe"" [file not found]
"Kargo" = "EXE32EXE.exe" [file not found]
"utsgmon" = "TemplateDongle.exe" [file not found]
"msag" = "cnftips.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"InCD" = "D:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"AVGCtrl" = ""D:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"MNI.UWFX5U_0001_LP1710" = ""C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F39RRXOW\WinFixer2005ScannerInstallDE[1].exe"" [file not found]
"xwiz" = "NsCplTray.exe" [file not found]
"TForm1" = "iesetupdll.exe" [file not found]
"stnospy" = "D:\Programme\SinEspias\no-spy.exe /autorun" [file not found]
"dmnjy.exe" = "C:\WINDOWS\system32\dmnjy.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22D8E815-4A5E-4DFB-845E-AAB64207F5BD}\(Default) = "eBay Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\eBay\eBay Toolbar2\eBayTB.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

Hab ich alles richtig gemacht ?

Hoffe Du kannst mir helfen.

Danke noch mal.
Gruß micky 36
Dieser Beitrag wurde am 29.12.2005 um 00:12 Uhr von Micky 36 editiert.
Seitenanfang Seitenende
29.12.2005, 15:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Micky 36

starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blaklight den Rechner neu starten.
sie heissen jetzt z.B. C:\WINDOWS\system32\hlmicro.exe.ren anstatt C:\WINDOWS\system32\hlmicro.exe

scan --> next none auf rename ändern

(ausser)
C:\WINDOWS\system32\wbem\wbemtest.exe)

----------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\intercept.dll
D:\Programme\SinEspias\no-spy.exe
D:\Programme\SinEspias\intercept.dll
C:\WINDOWS\system32\close.bmp
C:\WINDOWS\system32\insurance.bmp
C:\WINDOWS\system32\spyware.bmp
C:\WINDOWS\system32\xxx.bmp
C:\WINDOWS\system32\pharmacy.bmp
C:\WINDOWS\system32\dating.bmp
C:\WINDOWS\system32\gambling.bmp
C:\WINDOWS\system32\idesk.conf
C:\WINDOWS\system32\exhsk.dll
C:\WINDOWS\system32\dmnjy.exe
D:\Programme\UnSpyPC\UnSpyPC.exe
C:\WINDOWS\rdt.ini

PC neustarten
----------------------------------------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {51CE9A60-A9CD-D349-1BC2-44D57CBF59E5} - new32.dll (file missing)
O4 - HKLM\..\Run: [xwiz] NsCplTray.exe
O4 - HKLM\..\Run: [TForm1] iesetupdll.exe
O4 - HKLM\..\Run: [stnospy] D:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [UnSpyPC] "D:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] EXE32EXE.exe
O4 - HKCU\..\Run: [utsgmon] TemplateDongle.exe
O4 - HKCU\..\Run: [msag] cnftips.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 85.255.115.42,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 85.255.115.42 85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{E386FA33-FA68-4507-AD01-8710BB191EF9}: NameServer = 85.255.115.42,85.255.112.117

PC neustarten

loesche:
C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F39RRXOW\WinFixer2005ScannerInstallDE[1].exe


deinstalliere\loesche;
D:\Programme\UnSpyPC

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei in den Thread

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -->kopiere die txt-Datei ins Forum

Counterspy--> SCANNE C:\ und D:\
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

------------------------------------------------------------------------
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

dann spaeter, wenn das alles abgearbeitet ist, brauche ich noch mal das Log vom Silentrunner...aber bitte komplett...also: alles
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2006, 00:00
Micky 36
Member

Themenstarter

Beiträge: 38
#5 Hallo Sabina,
zuerst mal wünsche ich ein frohes neues Jahr...

Nochmals danke für Deine Antwort. Leider habe ich in der Zwischenzeit wohl einige Fehler begangen. Jemand hatte mir geraten einen Systemwiederherstellungspunkt zu wählen bevor der Virus auftrat.

Seitdem ich dieses Programm ausgeführt habe ist der Virus beim Start zwar wieder weg, jedoch komme ich weder in mein E-Mail Programm (Outlook) noch kann ich ein Word-Dokument öffnen.

Es geht immer eine Meldung auf in der steht:

Installationsfehler: Die Datei SKU011.CAB konnte nicht gefunden werden.

Die ursprüngliche Installationsquelle ist erforderlich.
Wenn Sie Microsoft Office Professional Edition 2003 von einer CD installiert haben, legen sie die CD ein. Dann wird noch nach einem Computernetzwerk gefragt. ICh habe aber einen einzelnen priv. PC und wüsste deswegen auch nicht wo ich auf meinem PC nach der angegebenen Datei suchen sollte.

Ich hoffe das ich nicht alles noch schlimmer gemacht habe.
Bitte wenn Du mir noch einmal helfen würdest, mache ich alles genau nach nach Deinen Anweisungen.

Nach dem letzten Systemwiederherstellungspunkt habe ich alle drei Virenscanner die ich schon immer auf dem PC habe ausgeführt. Die haben jede Menge Viren gefunden und beseitigt.
Antivir, Adaware und Spyboot destroy sind immer aktualisiert worden und stets aktiv. Auch Windows updates habe ich immer durchgeführt.

hier poste ich nochmal die heutige Log Datei von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 23:55:43, on 01.01.2006

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\Ahead\InCD\InCD.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Rar$EX10.781\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeansandmore.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MNI.UWFX5U_0001_LP1710] "C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F39RRXOW\WinFixer2005ScannerInstallDE[1].exe"
O4 - HKCU\..\Run: [PowerBar] "D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for ø: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.150.97 217.237.148.65

Ich hoffe wirklich Du kannst mir helfen, denn ich möchte unbgedingt die Daten retten die auf der Festplatte sind.
Soll ich Deine vorigen Anweisungen überhaupt noch durchführen?

Liebe Grüße
Micky 36
Dieser Beitrag wurde am 02.01.2006 um 10:06 Uhr von Micky 36 editiert.
Seitenanfang Seitenende
02.01.2006, 20:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 man kann eine systemwiederherstellung auch wieder rueckgaengig machen--> tu das, dann beginnen wir noch mal von vorn, also dann wieder datfindbat und f-secure und hijackhis...falls du daran interessiert bist, dein world wieder funktionstuechtig zu haben
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2006, 09:21
Micky 36
Member

Themenstarter

Beiträge: 38
#7 Hallo Sabina,
natürlich bin ich interessiert. Ohne Menschen wie Euch sind wir einfachen user doch aufgeschmissen. Danke dafür. Also nochmal von vorn.

Nachdem ich die original Office Software eingelegt habe laufen alle Systeme wieder einwandfrei.

Jetzt zu Deinen Anweisungen.
Datfindbat:

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\system32

03.01.2006 12:38 42.238 QuickTime.qtp
02.01.2006 17:36 40.836 perfc009.dat
02.01.2006 17:36 320.094 perfh007.dat
02.01.2006 17:36 314.508 perfh009.dat
02.01.2006 17:36 49.174 perfc007.dat
02.01.2006 17:36 724.842 PerfStringBackup.INI
01.01.2006 15:27 2.206 wpa.dbl
29.12.2005 09:29 4.984 close.bmp
29.12.2005 09:29 19.712 insurance.bmp
29.12.2005 09:29 11.772 spyware.bmp
29.12.2005 09:29 21.224 xxx.bmp
29.12.2005 09:29 21.872 pharmacy.bmp
29.12.2005 09:29 21.872 dating.bmp
29.12.2005 09:29 23.480 gambling.bmp
27.12.2005 11:06 387 idesk.conf
09.12.2005 02:07 197.761 ttayy.log
09.12.2005 01:21 2.723.680 MRT.exe
10.11.2005 00:29 189.792 FNTCACHE.DAT
20.10.2005 23:25 1.094.144 esent.dll
20.10.2005 23:25 1.094.144 esent(2)(2).dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 474.112 shlwapi.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll


Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\DOKUME~1\MichaelP\LOKALE~1\Temp



Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS

05.01.2006 09:10 1.807.110 WindowsUpdate.log
05.01.2006 09:10 24.811 KB905915.log
05.01.2006 09:03 0 0.log
05.01.2006 09:02 32.618 SchedLgU.Txt
05.01.2006 09:02 2.048 bootstat.dat
04.01.2006 21:10 1.125 winamp.ini
04.01.2006 19:49 214 wiadebug.log
04.01.2006 19:31 478 setuplog.txt
04.01.2006 19:27 300.965 setupapi.log
04.01.2006 19:22 50 wiaservc.log
03.01.2006 22:00 408 LEXSTAT.INI
02.01.2006 17:35 400 ODBC.INI
02.01.2006 17:34 702 win.ini
01.01.2006 23:12 614.228 iis6.log
01.01.2006 23:12 189.343 comsetup.log
01.01.2006 23:12 26.662 tabletoc.log
01.01.2006 23:12 117.295 ntdtcsetup.log
01.01.2006 23:12 1.355 imsins.log
01.01.2006 23:12 25.065 ocmsn.log
01.01.2006 23:12 243.101 tsoc.log
01.01.2006 23:12 28.572 KB910437.log
01.01.2006 23:12 269.006 ocgen.log
01.01.2006 23:12 22.077 medctroc.Log
01.01.2006 23:12 90.704 netfxocm.log
01.01.2006 23:12 26.196 msgsocm.log
01.01.2006 23:12 511.639 FaxSetup.log
01.01.2006 23:12 168.356 msmqinst.log
01.01.2006 23:12 18.948 updspapi.log
01.01.2006 21:13 1.430 warnhp.html
30.12.2005 11:46 1.393 imsins.BAK
20.12.2005 21:14 3.567 cofft.log
20.12.2005 19:33 197.761 zmjhu.log
15.12.2005 15:46 360 DtcInstall.log
15.12.2005 15:46 231 system.ini
15.12.2005 15:46 2.814 dasaz.dat
13.12.2005 02:15 3.733 KB883357.log
13.12.2005 02:15 12.443 KB867282.log
12.12.2005 12:09 116 NeroDigital.ini
05.12.2005 01:35 3.080 KB840374.log
09.11.2005 20:50 14.347 KB896424.log
31.10.2005 08:50 189.539 setupact.log
28.10.2005 13:20 18.285 KB896688.log
12.10.2005 08:28 12.971 CDPlayer.ini
11.10.2005 21:43 19.051 KB901017.log
11.10.2005 21:43 21.458 KB902400.log
11.10.2005 21:43 13.383 KB899589.log
11.10.2005 21:43 13.704 KB905414.log
11.10.2005 21:43 13.529 KB900725.log
11.10.2005 21:43 11.340 KB904706.log
11.10.2005 21:42 11.977 KB905749.log
29.09.2005 11:09 70.851 wmsetup.log
29.09.2005 11:09 316.640 WMSysPr9.prx
10.08.2005 16:02 17.669 KB899587.log


Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\

05.01.2006 09:15 0 sys.txt
05.01.2006 09:14 10.536 system.txt
05.01.2006 09:14 127 systemtemp.txt
05.01.2006 09:09 99.393 system32.txt
05.01.2006 09:02 267.964.416 hiberfil.sys
05.01.2006 09:02 402.653.184 pagefile.sys
26.04.2005 19:20 732 log.txt
24.09.2004 11:14 211 boot.ini
24.09.2004 11:03 47.564 NTDETECT.COM
24.09.2004 11:03 251.184 ntldr
27.06.2004 12:09 161 TO_InstallLog.txt
20.03.2004 15:35 122 dl.log
06.02.2004 21:37 0 CONFIG.SYS
06.02.2004 21:37 0 MSDOS.SYS
06.02.2004 21:37 0 IO.SYS
06.02.2004 21:37 0 AUTOEXEC.BAT
18.08.2001 13:00 4.952 bootfont.bin
17 Datei(en) 671.032.582 Bytes
0 Verzeichnis(se), 2.038.456.320 Bytes frei


01/05/06 09:17:24 [Info]: BlackLight Engine 1.0.30 initialized
01/05/06 09:17:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/06 09:17:25 [Note]: 7019 4
01/05/06 09:17:25 [Note]: 7005 0
01/05/06 09:17:34 [Note]: 7006 0
01/05/06 09:17:34 [Note]: 7011 1528
01/05/06 09:17:34 [Note]: FSRAW library version 1.7.1014
01/05/06 09:18:15 [Note]: 7007 0


"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"PowerBar" = ""D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime" ["Cyberlink, Corp."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"InCD" = "D:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"AVGCtrl" = ""D:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"MNI.UWFX5U_0001_LP1710" = ""C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F39RRXOW\WinFixer2005ScannerInstallDE[1].exe"" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22D8E815-4A5E-4DFB-845E-AAB64207F5BD}\(Default) = "eBay Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\eBay\eBay Toolbar2\eBayTB.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]


Soweit waren wir schon mal.

Hoffentlich kann man noch was retten?

Lieben gruß

Micky
Seitenanfang Seitenende
05.01.2006, 12:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Micky 36

start-->Ausfuehren--> regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MNI.UWFX5U_0001_LP1710" <--loeschen

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage"<--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen

loesche mit der Killbox:
C:\WINDOWS\system32\close.bmp
C:\WINDOWS\system32\insurance.bmp
C:\WINDOWS\system32\spyware.bmp
C:\WINDOWS\system32\xxx.bmp
C:\WINDOWS\system32\pharmacy.bmp
C:\WINDOWS\system32\dating.bmp
C:\WINDOWS\system32\gambling.bmp
C:\WINDOWS\system32\idesk.conf
C:\WINDOWS\warnhp.html

PC neustarten

poste noch mal das log vom Silentrunner...aber bitte alles, nicht nur die Haelfte....

scanne mit Kasperksy und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2006, 14:40
Micky 36
Member

Themenstarter

Beiträge: 38
#9 Hallo,
Dise Datei:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage"<--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen

konnte ich unter start-->Ausfuehren--> regedit nicht finden.

Sonst habe ich alles so gemacht wie beschrieben.

Hier das hoffentlich diesmal komplette log vom Silentrunner:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"PowerBar" = ""D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime" ["Cyberlink, Corp."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22D8E815-4A5E-4DFB-845E-AAB64207F5BD}\(Default) = "eBay Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\eBay\eBay Toolbar2\eBayTB.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{92085AD4-F48A-450D-BD93-B28CC7DF67CE}" = "eBay Toolbar"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\eBay\eBay Toolbar2\eBayTB.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\MARINE~1.SCR" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{92085AD4-F48A-450D-BD93-B28CC7DF67CE}" = "eBay Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\eBay\eBay Toolbar2\eBayTB.dll" [null data]

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "D:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""D:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Diskeeper, Diskeeper, "C:\Programme\Executive Software\Diskeeper\DkService.exe" ["Executive Software International, Inc."]
InCD Helper, InCDsrv, "D:\Programme\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
VNC Server Version 4, WinVNC4, ""C:\Programme\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service " ["RealVNC Ltd."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 52 seconds, including 11 seconds for message boxes)


Und dann noch das Logfile von Kasperspy:

KASPERSKY ON-LINE SCANNER REPORT
Thursday, January 05, 2006 14:39:05
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 5/01/2006
Kaspersky Anti-Virus database records: 158991
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 42565
Number of viruses found: 24
Number of infected objects: 93
Number of suspicious objects: 3
Duration of the scan process: 2546 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\All Users\Dokumente\uninstall.exe Infected: Net-Worm.Win32.Dedler.b
C:\Dokumente und Einstellungen\MichaelP\sflc.dll Infected: Net-Worm.Win32.Dedler.z
C:\Dokumente und Einstellungen\MichaelP\sfld.dll Infected: Net-Worm.Win32.Dedler.z
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP552\A0067561.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP553\A0067590.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP554\A0067616.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP554\A0067629.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP554\A0067641.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP554\A0068004.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP554\A0068017.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP554\A0068033.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP555\A0068039.exe Infected: Trojan-Downloader.Win32.Small.bwx
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP555\A0068204.exe Infected: Backdoor.Win32.Agent.rw
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP559\A0068765.exe Infected: Trojan-Downloader.Win32.Zlob.dm
C:\WINDOWS\dasaz.dat:atylhw:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\DtcInstall.log:surqbz:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\KB840374.log:gtzca:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\WINDOWS\KB867282.log:zmjhug:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\WINDOWS\KB883357.log:rncvwr:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\ntdtcsetup.log:kziff:$DATA Infected: Trojan-Downloader.Win32.Agent.td
D:\Programme\AVPersonal\INFECTED\!README.EXE.001 Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\!README.EXE.001:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\!README.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\!README.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0012708.EXE.VIR Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\A0012821.EXE.VIR Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\A0014082.EXE.VIR Infected: Net-Worm.Win32.Dedler.e
D:\Programme\AVPersonal\INFECTED\A0033796.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0033796.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034206.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034206.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034207.EXE.VIR Infected: Backdoor.Win32.Gobot.w
D:\Programme\AVPersonal\INFECTED\A0034453.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034453.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034614.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034614.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0069825.EXE.VIR Infected: Trojan-Downloader.Win32.Agent.td
D:\Programme\AVPersonal\INFECTED\A0069826.EXE.VIR Infected: Trojan.Win32.Agent.bi
D:\Programme\AVPersonal\INFECTED\A0069831.EXE.VIR Infected: Trojan.Win32.Small.ev
D:\Programme\AVPersonal\INFECTED\A0069833.DLL.VIR Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\AVPersonal\INFECTED\A0070396.EXE.VIR Infected: Trojan-Downloader.Win32.Agent.td
D:\Programme\AVPersonal\INFECTED\A0070397.EXE.VIR Infected: Trojan.Win32.Agent.bi
D:\Programme\AVPersonal\INFECTED\A0070402.EXE.VIR Infected: Trojan.Win32.Small.ev
D:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.001 Infected: Trojan.Java.ClassLoader.Dummy.e
D:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.002 Infected: Trojan.Java.ClassLoader.Dummy.e
D:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.VIR Infected: Trojan.Java.ClassLoader.Dummy.e
D:\Programme\AVPersonal\INFECTED\DEM_SAT_ADULT[1].EXE.001 Infected: Trojan.Win32.Dialer.e
D:\Programme\AVPersonal\INFECTED\DEM_SAT_ADULT[1].EXE.VIR Infected: Trojan.Win32.Dialer.e
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.001 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.002 Infected: Trojan.Java.ClassLoader.Dummy.c
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.003 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.004 Infected: Trojan.Java.ClassLoader.Dummy.c
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.005 Infected: Trojan.Java.ClassLoader.Dummy.c
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.006 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0001.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0002.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0003.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0004.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0005.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0006.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001 Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0001.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0002.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0003.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0004.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0005.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0006.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002 Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0001.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0002.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0003.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0004.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0005.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0006.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\INDEX_X[1].HTM.001 Suspicious: Exploit.HTML.DragDrop
D:\Programme\AVPersonal\INFECTED\INDEX_X[1].HTM.002 Suspicious: Exploit.HTML.DragDrop
D:\Programme\AVPersonal\INFECTED\INDEX_X[1].HTM.VIR Suspicious: Exploit.HTML.DragDrop
D:\Programme\AVPersonal\INFECTED\LETTER_INFO.ZIP.VIR/document.txt .exe Infected: Email-Worm.Win32.NetSky.q
D:\Programme\AVPersonal\INFECTED\LETTER_INFO.ZIP.VIR Infected: Email-Worm.Win32.NetSky.q
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.001 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.002 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.003 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.VIR Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\Q38399625.EXE.VIR Infected: Trojan.Win32.Dialer.j
D:\Programme\AVPersonal\INFECTED\SETUP.EXE.001 Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\SETUP.EXE.VIR Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\smvss.VIR Infected: Net-Worm.Win32.Dedler.e
D:\Programme\AVPersonal\INFECTED\UNIDIST.OCX.VIR Infected: Trojan-Downloader.Win32.Dyfuca.bm
D:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.001 Infected: Exploit.Java.ByteVerify
D:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.002 Infected: Exploit.Java.ByteVerify
D:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.VIR Infected: Exploit.Java.ByteVerify
D:\Programme\AVPersonal\INFECTED\WEB.ZIP.VIR/p-zipped_file_data .pif Infected: Email-Worm.Win32.Sober.g
D:\Programme\AVPersonal\INFECTED\WEB.ZIP.VIR Infected: Email-Worm.Win32.Sober.g
D:\Programme\AVPersonal\INFECTED\WMF_DCODE[1].WMF.VIR Infected: Trojan-Downloader.Win32.Agent.acd
E:\uninstall.exe Infected: Net-Worm.Win32.Dedler.b

Scan process completed.

Gruß Micky
Seitenanfang Seitenende
05.01.2006, 15:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 loesche (manuell oder mit der killbox:

C:\Dokumente und Einstellungen\All Users\Dokumente\uninstall.exe
C:\Dokumente und Einstellungen\MichaelP\sflc.dll
C:\Dokumente und Einstellungen\MichaelP\sfld.dll
E:\uninstall.exe

deaktiviere die systemwiederherstellung (nach der Reinigung wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

kopiere hier den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2006, 18:45
Micky 36
Member

Themenstarter

Beiträge: 38
#11 Alles erledigt:

Log f-secure-Beta Trial

01/05/06 18:36:59 [Info]: BlackLight Engine 1.0.30 initialized
01/05/06 18:36:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/06 18:36:59 [Note]: 7019 4
01/05/06 18:36:59 [Note]: 7005 0
01/05/06 18:37:15 [Note]: 7006 0
01/05/06 18:37:15 [Note]: 7011 1412
01/05/06 18:37:15 [Note]: FSRAW library version 1.7.1014
01/05/06 18:41:58 [Note]: 7007 0

ADSSPY:
C:\WINDOWS\dasaz.dat : atylhw (11895 bytes)
C:\WINDOWS\DtcInstall.log : surqbz (35447 bytes)
C:\WINDOWS\KB840374.log : gtzca (133791 bytes)
C:\WINDOWS\KB867282.log : zmjhug (133791 bytes)
C:\WINDOWS\KB883357.log : rncvwr (11895 bytes)
C:\WINDOWS\Malvorlagen-Archiv[mgv-10033,1,1].exe : Zone.Identifier (26 bytes)
C:\WINDOWS\ntdtcsetup.log : kziff (35447 bytes)
C:\WINDOWS\system.ini : hpqzor (3567 bytes)
C:\WINDOWS\tattoopalace[tpl-10030,de,1].exe : Zone.Identifier (26 bytes)

tausend dank

Gruß Micky
Seitenanfang Seitenende
06.01.2006, 00:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 loesche: mit ADSSPY folgende Streams:

C:\WINDOWS\dasaz.dat : atylhw (11895 bytes)
C:\WINDOWS\DtcInstall.log : surqbz (35447 bytes)
C:\WINDOWS\KB840374.log : gtzca (133791 bytes)
C:\WINDOWS\KB867282.log : zmjhug (133791 bytes)
C:\WINDOWS\KB883357.log : rncvwr (11895 bytes)
C:\WINDOWS\ntdtcsetup.log : kziff (35447 bytes)
C:\WINDOWS\system.ini : hpqzor (3567 bytes)

danns scanne noch mal mit Kaspersky und berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.01.2006, 09:28
Micky 36
Member

Themenstarter

Beiträge: 38
#13 Guten Morgen Sabina,
habe hier nochmal das Log von Kasperspy:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, January 06, 2006 09:25:57
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/01/2006
Kaspersky Anti-Virus database records: 159117
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 38793
Number of viruses found: 21
Number of infected objects: 75
Number of suspicious objects: 3
Duration of the scan process: 2397 sec

Infected Object Name - Virus Name
C:\!KillBox\sflc.dll Infected: Net-Worm.Win32.Dedler.z
C:\!KillBox\sfld.dll Infected: Net-Worm.Win32.Dedler.z
C:\!KillBox\uninstall.exe Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\!README.EXE.001 Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\!README.EXE.001:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\!README.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\!README.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0012708.EXE.VIR Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\A0012821.EXE.VIR Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\A0014082.EXE.VIR Infected: Net-Worm.Win32.Dedler.e
D:\Programme\AVPersonal\INFECTED\A0033796.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0033796.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034206.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034206.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034207.EXE.VIR Infected: Backdoor.Win32.Gobot.w
D:\Programme\AVPersonal\INFECTED\A0034453.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034453.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034614.EXE.VIR Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0034614.EXE.VIR:STR:$DATA Infected: Backdoor.Win32.Gobot.t
D:\Programme\AVPersonal\INFECTED\A0069825.EXE.VIR Infected: Trojan-Downloader.Win32.Agent.td
D:\Programme\AVPersonal\INFECTED\A0069826.EXE.VIR Infected: Trojan.Win32.Agent.bi
D:\Programme\AVPersonal\INFECTED\A0069831.EXE.VIR Infected: Trojan.Win32.Small.ev
D:\Programme\AVPersonal\INFECTED\A0069833.DLL.VIR Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\AVPersonal\INFECTED\A0070396.EXE.VIR Infected: Trojan-Downloader.Win32.Agent.td
D:\Programme\AVPersonal\INFECTED\A0070397.EXE.VIR Infected: Trojan.Win32.Agent.bi
D:\Programme\AVPersonal\INFECTED\A0070402.EXE.VIR Infected: Trojan.Win32.Small.ev
D:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.001 Infected: Trojan.Java.ClassLoader.Dummy.e
D:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.002 Infected: Trojan.Java.ClassLoader.Dummy.e
D:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.VIR Infected: Trojan.Java.ClassLoader.Dummy.e
D:\Programme\AVPersonal\INFECTED\DEM_SAT_ADULT[1].EXE.001 Infected: Trojan.Win32.Dialer.e
D:\Programme\AVPersonal\INFECTED\DEM_SAT_ADULT[1].EXE.VIR Infected: Trojan.Win32.Dialer.e
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.001 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.002 Infected: Trojan.Java.ClassLoader.Dummy.c
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.003 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.004 Infected: Trojan.Java.ClassLoader.Dummy.c
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.005 Infected: Trojan.Java.ClassLoader.Dummy.c
D:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.006 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0001.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0002.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0003.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0004.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0005.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001/data0006.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.001 Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0001.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0002.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0003.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0004.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0005.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002/data0006.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.002 Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0001.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0002.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0003.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0004.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0005.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR/data0006.html Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\FDDXM.DLL.VIR Infected: Trojan-Downloader.Win32.WinShow.u
D:\Programme\AVPersonal\INFECTED\INDEX_X[1].HTM.001 Suspicious: Exploit.HTML.DragDrop
D:\Programme\AVPersonal\INFECTED\INDEX_X[1].HTM.002 Suspicious: Exploit.HTML.DragDrop
D:\Programme\AVPersonal\INFECTED\INDEX_X[1].HTM.VIR Suspicious: Exploit.HTML.DragDrop
D:\Programme\AVPersonal\INFECTED\LETTER_INFO.ZIP.VIR/document.txt .exe Infected: Email-Worm.Win32.NetSky.q
D:\Programme\AVPersonal\INFECTED\LETTER_INFO.ZIP.VIR Infected: Email-Worm.Win32.NetSky.q
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.001 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.002 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.003 Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\OK[1].CLASS.VIR Infected: Trojan.Java.Nocheat
D:\Programme\AVPersonal\INFECTED\Q38399625.EXE.VIR Infected: Trojan.Win32.Dialer.j
D:\Programme\AVPersonal\INFECTED\SETUP.EXE.001 Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\SETUP.EXE.VIR Infected: Net-Worm.Win32.Dedler.b
D:\Programme\AVPersonal\INFECTED\smvss.VIR Infected: Net-Worm.Win32.Dedler.e
D:\Programme\AVPersonal\INFECTED\UNIDIST.OCX.VIR Infected: Trojan-Downloader.Win32.Dyfuca.bm
D:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.001 Infected: Exploit.Java.ByteVerify
D:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.002 Infected: Exploit.Java.ByteVerify
D:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.VIR Infected: Exploit.Java.ByteVerify
D:\Programme\AVPersonal\INFECTED\WEB.ZIP.VIR/p-zipped_file_data .pif Infected: Email-Worm.Win32.Sober.g
D:\Programme\AVPersonal\INFECTED\WEB.ZIP.VIR Infected: Email-Worm.Win32.Sober.g
D:\Programme\AVPersonal\INFECTED\WMF_DCODE[1].WMF.VIR Infected: Trojan-Downloader.Win32.Agent.acd

Scan process completed.


Liebe Grüße Micky
Seitenanfang Seitenende
06.01.2006, 10:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Micky 36

loesche manuell:

C:\!KillBox\sflc.dll
C:\!KillBox\sfld.dll
C:\!KillBox\uninstall.exe

http://virus-protect.org/multiavtool.html
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

kopiere hier die 3 Scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.01.2006, 15:30
Micky 36
Member

Themenstarter

Beiträge: 38
#15 Hallo Sabina,

ich glaube jetzt komm ich nicht weiter.

Habe folgende Dateien manuelll gelöscht:

C:\!KillBox\sflc.dll
C:\!KillBox\sfld.dll
C:\!KillBox\uninstall.exe

Beim ausführeren des Programmes: http://virus-protect.org/multiavtool.html
habe ich die "3" gedrückt und dann habe ich auch

- C:\Windows\System32 eingegeben: dann beginnt der Scan,
der hat dann auch gescannt und etwas gefunden ich finde aber kein report bzw. Logfile. nach beendigung geht das Fenster einfach zu.
Wo muß ich suchen oder muß ich erst alle 6 Punkte bis zum rebot durchführen um ein Report zu finden?

Bei genau das gleiche. Finde kein report.
- C:\Windows
- C:\

Oder meinst DU mit: kopiere hier die 3 Scanreporte"
1. Sophos
2. Trend
3. McAfee

oder bin ich einfach nur zu blöd dafür?

Heul

Liebe grüße
Micky
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12