unspypc - computer befallen ... Spyware Toolbar

#0
01.01.2006, 16:01
Member

Beiträge: 15
#1 Hallo erst mal an alle

ist mein erstes Posting und ich hoffe jemand kann helfen.....

habe irgendwo im Netz ein Programm aufgegabelt UnSpyPC das sich von selbst auf mein Desktop gebeamt hat....
habe auch eine neue Leiste in meinem Explorr die ich nicht mehr deaktivieren kann. Hilft da Norton Antivirus?

sind meine Daten gefährdet?

Vielen Dank schon mal vorab
Thorsten
Seitenanfang Seitenende
01.01.2006, 16:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 TKHeidt

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 16:08
Member

Themenstarter

Beiträge: 15
#3 Logfile of HijackThis v1.99.1
Scan saved at 16:07:13, on 01.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\DOKUME~1\THORST~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://t.muxa.cc/s.php?aid=551 (obfuscated)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.muxa.cc/h.php?aid=551 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated)

R3 - URLSearchHook: (no name) - {0B153C28-A333-7429-BFDB-96F936AA144A} - abrek.dll (file missing)

O1 - Hosts: 205.177.124.66 auto.search.msn.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\vvhkl.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\vvhkl.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [teqq32] 321102.exe
O4 - HKLM\..\Run: [TForm1] uio.exe
O4 - HKLM\..\Run: [dmgqu.exe] C:\WINDOWS\system32\dmgqu.exe

O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] WTFCTF.exe
O4 - HKCU\..\Run: [321102] abrek.exe
O4 - HKCU\..\Run: [_ctcp] stuffmon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://bba.bloomberg.net/Citrix/ICAWEB/en/ica32/wficat.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.fr/svideo3.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28753F4C-5BBA-4298-9487-4A10B1A78185}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{35AAF957-37BF-401F-9FAB-89A3A233CEA1}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{6218DEFD-6282-490D-B7F9-B13B982432F8}: NameServer = 85.255.116.45 85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E67739C-4A9F-45F6-B6E8-1B2F88DF295D}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{C643DF86-B71D-48C1-BCBF-55C82BF06632}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF217F5-A875-4A14-A4C1-098319A9C5F6}: NameServer = 85.255.116.45,85.255.112.230
O20 - AppInit_DLLs: msconfd.dll

O23 - Service: mserv.exe (anem) - Unknown owner - C:\WINDOWS\mserv.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe




und das soll helfen ;-)

das geht ja hier blitz schnell
Seitenanfang Seitenende
01.01.2006, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html


kopiere hier die 4 Textdateien
(2 Monate vom Datum genuegen)
http://virus-protect.org/datfindbat.html

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 16:39
Member

Themenstarter

Beiträge: 15
#5 Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: D81A-D019

Verzeichnis von C:\WINDOWS\system32

01.01.2006 15:26 155.648 vvhkl.dll
01.01.2006 13:27 1.158 wpa.dbl
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 12:14 86.091 S32EVNT1.DLL
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 07:23 259.048 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 09:14 40.664 perfc009.dat
30.10.2005 09:14 312.946 perfh009.dat
30.10.2005 09:14 318.106 perfh007.dat
30.10.2005 09:14 49.028 perfc007.dat
30.10.2005 09:14 728.266 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
11.09.2005 21:27 13.312 svrapi.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
03.08.2005 09:33 520.456 LegitCheckControl.DLL


Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: D81A-D019

Verzeichnis von C:\DOKUME~1\THORST~1\LOKALE~1\Temp

01.01.2006 16:31 16.384 Perflib_Perfdata_e4.dat
01.01.2006 16:31 220 jusched.log
2 Datei(en) 16.604 Bytes
0 Verzeichnis(se), 60.769.705.984 Bytes frei

Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: D81A-D019

Verzeichnis von C:\WINDOWS

01.01.2006 16:32 0 0.log
01.01.2006 16:32 2.004 ModemLog_MSP3885-E 56K PCI Modem.txt
01.01.2006 16:32 159 wiadebug.log
01.01.2006 16:32 50 wiaservc.log
01.01.2006 16:31 54.156 QTFont.qfn
01.01.2006 16:30 2.048 bootstat.dat
01.01.2006 16:29 32.612 SchedLgU.Txt
01.01.2006 16:28 1.712.238 WindowsUpdate.log
01.01.2006 16:28 1.409 QTFont.for
01.01.2006 15:27 6.400 balloon.wav
01.01.2006 15:27 4.517 rdt.ini

28.12.2005 19:34 230.409 setupact.log
23.12.2005 14:03 57.932 wmsetup.log
13.12.2005 20:22 86.994 iis6.log
13.12.2005 20:22 195.446 comsetup.log
13.12.2005 20:22 26.597 ocmsn.log
13.12.2005 20:22 1.393 imsins.log
13.12.2005 20:22 219.290 tsoc.log
13.12.2005 20:22 117.886 ntdtcsetup.log
13.12.2005 20:22 10.931 KB910437.log
13.12.2005 20:22 286.337 ocgen.log
13.12.2005 20:22 28.111 msgsocm.log
13.12.2005 20:22 573.189 FaxSetup.log
13.12.2005 20:22 445.558 setupapi.log
13.12.2005 20:22 24.157 updspapi.log
13.12.2005 20:22 1.393 imsins.BAK
13.12.2005 20:22 16.742 KB905915.log
09.11.2005 21:15 14.386 KB896424.log
06.11.2005 15:08 12.735 SYMEVENT.LOG
04.11.2005 16:44 132 webica.ini
24.10.2005 13:12 14.353 KB896688.log
18.10.2005 21:33 21.587 KB902400.log
17.10.2005 11:09 11.229 KB901017.log
17.10.2005 11:09 14.750 KB905414.log
17.10.2005 03:13 16.009 KB900725.log
14.10.2005 19:07 10.735 KB904706.log
14.10.2005 10:31 16.951 KB905749.log
11.09.2005 21:26 171 RYA3854AF.txt
03.09.2005 10:38 68.384 DirectX.log
03.09.2005 10:32 154 WLP.ini
03.09.2005 10:32 274 system.ini



Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: D81A-D019

Verzeichnis von C:\

01.01.2006 16:37 0 sys.txt
01.01.2006 16:37 11.509 system.txt
01.01.2006 16:36 351 systemtemp.txt
01.01.2006 16:34 105.693 system32.txt
01.01.2006 16:30 536.399.872 hiberfil.sys
01.01.2006 16:30 804.491.264 pagefile.sys
05.06.2005 10:02 13.030 PDOXUSRS.NET
31.12.2004 17:41 0 COMLOG.txt
29.12.2004 09:20 81 CTX.DAT
31.08.2004 10:37 211 boot.ini
31.08.2004 10:28 47.564 NTDETECT.COM
31.08.2004 10:28 251.184 ntldr
04.03.2004 21:26 3 TCPCheckResult.txt
27.08.2003 22:38 96 ispInst.dat
27.08.2003 22:38 87 ispInfo.dat
21.08.2003 05:30 26 fastboot.txt
21.08.2003 05:28 874 DRVlog.dat
21.08.2003 05:14 0 CONFIG.SYS
21.08.2003 05:14 0 IO.SYS
21.08.2003 05:14 0 MSDOS.SYS
21.08.2003 05:14 0 AUTOEXEC.BAT
18.08.2003 14:50 328 Patch1.cmd
18.08.2003 14:50 203 Patch.cmd
02.07.2003 07:49 520.192 FirstSteps.exe
13.03.2003 11:37 32.768 NAV_Update.exe
29.08.2002 13:00 4.952 bootfont.bin
18.08.2001 13:00 2 oem.tag
27 Datei(en) 1.341.880.290 Bytes
0 Verzeichnis(se), 60.769.689.600 Bytes frei
Seitenanfang Seitenende
01.01.2006, 18:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 18:56
Member

Themenstarter

Beiträge: 15
#7 noch mal: vielen dank fuer deinen muehe

01/01/06 18:43:36 [Info]: BlackLight Engine 1.0.30 initialized
01/01/06 18:43:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/01/06 18:43:37 [Note]: 7019 4
01/01/06 18:43:37 [Note]: 7005 0
01/01/06 18:43:52 [Note]: 7006 0
01/01/06 18:43:52 [Note]: 7011 1756
01/01/06 18:43:53 [Note]: FSRAW library version 1.7.1014
01/01/06 18:44:38 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
01/01/06 18:44:38 [Note]: 10002 1
01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\csjgo.exe
01/01/06 18:44:47 [Note]: 7002 32
01/01/06 18:44:47 [Note]: 7003 1
01/01/06 18:44:47 [Note]: 10002 1
01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\dmqjn.exe
01/01/06 18:44:47 [Note]: 7002 32
01/01/06 18:44:47 [Note]: 7003 1
01/01/06 18:44:47 [Note]: 10002 1
01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
01/01/06 18:44:47 [Note]: 10002 1
01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
01/01/06 18:44:47 [Note]: 10002 1
01/01/06 18:44:51 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
01/01/06 18:44:51 [Note]: 10002 1
01/01/06 18:44:55 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
01/01/06 18:44:55 [Note]: 10002 1
Seitenanfang Seitenende
01.01.2006, 19:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nun noch das log vom silentrunner...dann habe ich alles komplett ;)
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 19:52
Member

Themenstarter

Beiträge: 15
#9 Hi Sabina

Silent Runners.vbs klicke ich an und dann passiert gar nix :-(
habe auch schon Norton Anti Vrus deaktiviert.

danke
thorsten
Dieser Beitrag wurde am 01.01.2006 um 20:23 Uhr von TKHeidt editiert.
Seitenanfang Seitenende
01.01.2006, 20:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
01.01.2006, 21:04
Member

Themenstarter

Beiträge: 15
#11 voila

ich denke damit hast du meinen rechner jetzt durchleuchtet....
unglaublich was es alles gibt!


»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 29.08.2002 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 03.08.2005 09:33:42 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL
PECompact2 09.12.2005 01:21:08 2723680 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 09.12.2005 01:21:08 2723680 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 08:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 08:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 29.08.2002 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 06:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
01.01.2006 20:12:58 S 2048 C:\WINDOWS\bootstat.dat
01.01.2006 20:19:40 H 54156 C:\WINDOWS\QTFont.qfn
01.12.2005 04:44:42 S 21633 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB905915.cat
02.12.2005 01:12:38 S 10925 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB910437.cat
01.01.2006 20:53:10 H 1024 C:\WINDOWS\system32\config\default.LOG
01.01.2006 20:19:34 H 1024 C:\WINDOWS\system32\config\SAM.LOG
01.01.2006 20:20:26 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
01.01.2006 20:58:14 H 1024 C:\WINDOWS\system32\config\software.LOG
01.01.2006 20:58:20 H 1024 C:\WINDOWS\system32\config\system.LOG
13.12.2005 20:21:32 H 1024 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT.LOG
28.12.2005 21:31:56 S 14760 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\6C68A73125F3238F044A8115D96841B6
28.12.2005 21:31:56 S 132 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\6C68A73125F3238F044A8115D96841B6
13.11.2005 21:46:10 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\858c4b81-1a3b-42ca-9d64-87638311b123
13.11.2005 21:46:10 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
01.01.2006 20:13:04 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 08:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Realtek Semiconductor Corp. 18.06.2003 13:14:48 8605696 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL
Microsoft Corporation 04.08.2004 08:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
WIDCOMM, Inc. 29.07.2003 16:15:22 245819 C:\WINDOWS\SYSTEM32\btcpl.cpl
Microsoft Corporation 04.08.2004 08:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Conexant Systems 15.07.2001 17:37:46 316416 C:\WINDOWS\SYSTEM32\csacpl.cpl
Microsoft Corporation 04.08.2004 08:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 08:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 08:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Ahead Software AG 22.07.2003 15:29:22 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl
Microsoft Corporation 04.08.2004 08:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 08:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 08:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 08:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems 28.09.2004 20:26:02 61555 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 08:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 08:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 08:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 08:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 08:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 10.07.2002 21:01:38 295936 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 04.08.2004 08:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 08:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 08:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 04.08.2004 08:58:22 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
03.04.2005 17:01:40 908 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.exe.lnk
04.11.2005 17:18:38 1745 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
04.03.2004 20:36:18 681 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
21.08.2003 05:14:46 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
03.09.2003 20:19:30 1722 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
04.03.2004 21:26:56 609 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PCSuiteForNokia3650 Detect.lnk
04.03.2004 21:26:56 619 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PCSuiteForNokia3650 TS.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
21.08.2003 06:08:10 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
21.08.2003 05:14:46 HS 84 C:\Dokumente und Einstellungen\Thorsten\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
21.08.2003 06:08:10 HS 62 C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\desktop.ini
13.03.2003 15:56:44 1094 C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Enregistrement Hachette
29.12.2004 09:17:20 80664 C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\GDIPFONTCACHEV1.DAT
29.05.2005 19:14:00 12 C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\uns.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
=

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton AntiVirus\NavShExt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}
Yahoo! Companion BHO = C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}
SearchToolbar = C:\WINDOWS\system32\vvhkl.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22D8E815-4A5E-4DFB-845E-AAB64207F5BD}
eBay Toolbar Helper = C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\Programme\Spybot - Search & Destroy\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar2.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}
CNavExtBho Class = C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FE54FA40-D68C-11d2-98FA-00C0F0318AFE}
Real.com = C:\WINDOWS\System32\Shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll
{92085AD4-F48A-450D-BD93-B28CC7DF67CE} = eBay Toolbar : C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = Yahoo! Companion : C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\system32\vvhkl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\WINDOWS\System32\msjava.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F}
ButtonText = @btrez.dll,-4015 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
ButtonText = Real.com :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{46AE04C0-BCFA-4728-90E7-00EB4A8B3863} = :
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\system32\vvhkl.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{46AE04C0-BCFA-4728-90E7-00EB4A8B3863} = :
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = Yahoo! Companion : C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\system32\vvhkl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ATIModeChange Ati2mdxx.exe
Wizard
ATIPTA C:\ATI-CPanel\atiptaxx.exe
SoundMan SOUNDMAN.EXE
FirstSteps
NAV_Update
NeroCheck C:\WINDOWS\system32\NeroCheck.exe
InCD C:\Programme\Ahead\InCD\InCD.exe
Microsoft Works Update Detection C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
Online Service C:\WINDOWS\svchost.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
SunJavaUpdateSched C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
eBayToolbar C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
Symantec NetDriver Monitor C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
teqq32 321102.exe
TForm1 uio.exe
dmwdi.exe C:\WINDOWS\system32\

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
DJSNetCN C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
MSMSGS "C:\Programme\Messenger\msmsgs.exe" /background
UnSpyPC "C:\Programme\UnSpyPC\UnSpyPC.exe"
Kargo WTFCTF.exe
321102 abrek.exe
_ctcp stuffmon.exe
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoBandCustomize 1


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs msconfd.dll


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 01.01.2006 21:00:27
Dieser Beitrag wurde am 01.01.2006 um 21:08 Uhr von TKHeidt editiert.
Seitenanfang Seitenende
01.01.2006, 21:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 TKHeidt

Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blaklight den Rechner neu starten.

scan --> next none auf rename ändern

(ausser)
C:\WINDOWS\system32\wbem\wbemtest.exe)

---------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\vvhkl.dll
C:\WINDOWS\system32\msconfd.dll
C:\WINDOWS\system32\dmgqu.exe
C:\WINDOWS\system32\dmwdi.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\rdt.ini

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://t.muxa.cc/s.php?aid=551 (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.muxa.cc/h.php?aid=551 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated)

R3 - URLSearchHook: (no name) - {0B153C28-A333-7429-BFDB-96F936AA144A} - abrek.dll (file missing)

O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\vvhkl.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\vvhkl.dll
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe

O4 - HKLM\..\Run: [teqq32] 321102.exe
O4 - HKLM\..\Run: [TForm1] uio.exe
O4 - HKLM\..\Run: [dmgqu.exe] C:\WINDOWS\system32\dmgqu.exe

O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] WTFCTF.exe
O4 - HKCU\..\Run: [321102] abrek.exe
O4 - HKCU\..\Run: [_ctcp] stuffmon.exe

O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{28753F4C-5BBA-4298-9487-4A10B1A78185}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{35AAF957-37BF-401F-9FAB-89A3A233CEA1}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{6218DEFD-6282-490D-B7F9-B13B982432F8}: NameServer = 85.255.116.45 85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E67739C-4A9F-45F6-B6E8-1B2F88DF295D}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{C643DF86-B71D-48C1-BCBF-55C82BF06632}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF217F5-A875-4A14-A4C1-098319A9C5F6}: NameServer = 85.255.116.45,85.255.112.230
O20 - AppInit_DLLs: msconfd.dll
O23 - Service: mserv.exe (anem) - Unknown owner - C:\WINDOWS\mserv.exe (file missing)

pc neustarten

du musst eine neue Internetverbindung erstellen

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-
"Kargo"=-
"321102"=-
"_ctcp"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Online Service"=-
"teqq32"=-
"TForm1"=-
"dmwdi.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0B153C28-A333-7429-BFDB-96F936AA144A}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

----------------------------------------------------------------------------

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)


deinstelliere/loesche:
C:\Programme\UnSpyPC

-------------------------------------------------------------------------
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt--> hier posten


Counterspy
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine

poste den scanreport

---------------------------------

Info Wareout
http://virus-protect.org/artikel/spyware/idemlog2.html
http://virus-protect.org/artikel/spyware/idemlog.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 22:20
Member

Themenstarter

Beiträge: 15
#13 der smitrem.exe link geht nicht mehr
der fixwareout auch nicht
Seitenanfang Seitenende
01.01.2006, 22:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

TKHeidt postete
der smitrem.exe link geht nicht mehr
der fixwareout auch nicht
alle beide links funktionieren, du musst ein Weilchen warten, bis die exe zum laden erscheinen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2006, 06:41
Member

Themenstarter

Beiträge: 15
#15 smitrem und fixwarehouse schicke ich heute abend


Spyware Scan Details
Start Date: 01.01.2006 22:26:13
End Date: 02.01.2006 00:09:39
Total Time: 1 hrs 43 mins 26 secs

Detected spyware

Search ToolBar Adware more information...
Status: Deleted

Infected files detected
C:\!KillBox\vvhkl.dll


ToolbarCC Browser Hijacker more information...
Details: When ToolbarCC detects you making a Google search, it redirects the query to its controlling server, two.toolbar.cc, which may redirect to another page or return you to Google.
Status: Deleted

Infected files detected
C:\Daten\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\winmkce.dll
G:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\winmkce.dll


Trojan.Downloader.Small.popcorn Trojan Downloader more information...
Status: Deleted

Infected files detected
C:\WINDOWS\system32\pppcgm.exe.ren


PWS-Pinch Password Stealer more information...
Status: Deleted

Infected files detected
C:\WINDOWS\system32\sphlp32.exe.ren
Dieser Beitrag wurde am 02.01.2006 um 08:33 Uhr von TKHeidt editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: