WinHound macht Ärger

#1 Hallo,

seit gestern meldet mir AntiVir dauert Virus Meldungen. Hab schon versucht den Virus/Trojaner los zu werden, leider ohne Erfolg. Ich hoffe ihr könnt mir hier weiter helfen. Es hat sich automatisch das Programm Winhound Remover installiert. Habs dann direkt wieder deinstalliert.

Besten Dank schon mal!!!

HiJackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:07:12, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\appuc32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NMapWin\bin\nmapserv.exe
C:\WINDOWS\system32\ppss.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\BTORadio\ps_agent.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Radmin\radmin.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = TestNet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.123.197:3128
O2 - BHO: Class - {00566D5A-B6F9-27AB-FD3D-31394CDD5109} - C:\WINDOWS\system32\mfcsg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {A66A7703-9E5D-D32F-B86A-2B0EE436B436} - C:\WINDOWS\msuv.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG_alt.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\Icons\Seticon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\tobias\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\BTORadio\ps_agent.exe
O4 - HKCU\..\RunOnce: [The Bat!] C:\Programme\The Bat!\thebat.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128630574054
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128630556739
O16 - DPF: {7D30109B-DD2B-4339-BE80-1CD48723C2BC} (LiveX(v6.0.1.0)) - http://195.226.177.148:8888/cab/Live.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FBB7A6F-A81D-4FF0-B203-13A64143C3E3}: NameServer = 192.168.123.254
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appuc32.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMap - Unknown owner - C:\Programme\NMapWin\bin\nmapserv.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: ppScheduler Service for NT - ppedv ag - C:\WINDOWS\system32\ppss.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

#2 xRABAUKEx


stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
--------------------------------------------------------
WinHound
http://virus-protect.org/artikel/spyware/winhound.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Das bekomme ich von AniVir ausgespuckt:

C:\WINDOWS\SYSGK32.DLL

Ist das Trojanische Pferd TR/Agent.axc

Irgendwie immer ne andere Datei. Ca. alle 5 min

Sorry, hab vergessen das Programm CleanUp zu starten.
Hier die 4 Dateien:


04.01.2006 08:52 0 iejg.exe
04.01.2006 08:17 0 addzu32.exe
04.01.2006 01:07 0 mfcrn32.exe
03.01.2006 23:48 0 appsu.exe
03.01.2006 22:18 0 addsy32.exe
03.01.2006 14:22 0 appqn32.exe
03.01.2006 13:23 13.581 bzcnr.txt
03.01.2006 13:16 22.854 stub1.ini
01.01.2006 18:26 0 ieur32.exe
01.01.2006 11:39 0 winuc32.exe
01.01.2006 10:26 1.199 logs1.ini
30.12.2005 11:03 0 winnu.exe
30.12.2005 09:05 0 d3ef32.exe
29.12.2005 09:49 1.158 wpa.dbl
29.12.2005 07:32 0 sdkzx32.exe
27.12.2005 17:49 0 netli32.exe
27.12.2005 11:02 0 javajt32.exe
26.12.2005 14:16 49.424 perfc007.dat
26.12.2005 14:16 313.280 perfh009.dat
26.12.2005 14:16 728.266 PerfStringBackup.INI
26.12.2005 14:16 40.998 perfc009.dat
26.12.2005 14:16 318.680 perfh007.dat
25.12.2005 01:52 0 atlpw32.exe
24.12.2005 10:43 0 ntqm.exe
23.12.2005 17:13 0 sdktm.exe
23.12.2005 14:12 0 craw.exe
23.12.2005 10:52 0 appir.exe
22.12.2005 17:40 0 apiyo.exe
22.12.2005 05:22 0 addip.exe
21.12.2005 15:50 0 ieri.exe
18.12.2005 09:43 0 crun.exe
18.12.2005 08:59 0 atlik32.exe
17.12.2005 20:02 13.581 pvjwe.dat
17.12.2005 19:50 0 ipct32.exe
17.12.2005 15:23 68.608 xfucj.dll
16.12.2005 11:04 0 ntlh.exe
15.12.2005 14:31 0 wintz.exe
13.12.2005 00:11 0 winfo.exe
08.12.2005 00:34 133.791 mfcsg32.dll
08.12.2005 00:34 0 mfcsg32.exe
07.12.2005 22:12 0 sdkiz.exe
07.12.2005 14:45 11.895 appuc32.exe
07.12.2005 12:29 11.895 addqj.exe
07.12.2005 11:39 35.447 addgi.exe
06.12.2005 06:59 0 atlnn32.exe
06.12.2005 04:10 0 d3jd32.exe
30.10.2005 13:24 189.792 FNTCACHE.DAT
11.10.2005 15:13 157 rundll32.RadExe

Verzeichnis von C:\DOKUME~1\tobias\LOKALE~1\Temp

04.01.2006 17:07 541 WCESCOMM.LOG
04.01.2006 17:07 206 jusched.log
2 Datei(en) 747 Bytes
0 Verzeichnis(se), 1.610.743.808 Bytes frei

Verzeichnis von C:\WINDOWS

04.01.2006 17:07 4.234 ModemLog_Agere Systems AC'97 Modem.txt
04.01.2006 17:06 159 wiadebug.log
04.01.2006 17:06 0 0.log
04.01.2006 17:06 2.048 bootstat.dat
04.01.2006 17:06 32.604 SchedLgU.Txt
04.01.2006 17:06 50 wiaservc.log
04.01.2006 17:06 503.478 WindowsUpdate.log
03.01.2006 22:38 593.800 setupapi.log
03.01.2006 22:12 3.584 uninstIU.exe
03.01.2006 22:12 1.430 warnhp.html
01.01.2006 08:56 0 msxs32.exe
31.12.2005 18:53 155 winamp.ini
31.12.2005 15:06 0 javatu32.exe
31.12.2005 01:48 0 mfcll32.exe
30.12.2005 20:38 0 sysvx.exe
30.12.2005 10:39 367.834 wmsetup.log
30.12.2005 10:24 133.791 zastgn.dat
29.12.2005 22:08 0 sysqw.exe
28.12.2005 09:35 0 ipvv.exe
28.12.2005 07:22 11.895 uwqjdw.dat
28.12.2005 02:27 133.791 tecptt.dat
27.12.2005 11:43 0 apidk.exe
27.12.2005 06:51 0 atlbk.exe
27.12.2005 05:15 0 ukysxn.dat
26.12.2005 04:39 0 addrh32.exe
25.12.2005 22:54 0 sdkpd32.exe
25.12.2005 12:30 0 addan32.exe
24.12.2005 10:50 0 iemj.exe
22.12.2005 14:19 0 netlf32.exe
22.12.2005 12:28 0 appdv.exe
21.12.2005 13:02 0 atlnt.exe
20.12.2005 04:10 0 crog32.exe
19.12.2005 04:18 0 ntiq.exe
18.12.2005 14:56 218.785 setupact.log
18.12.2005 13:27 197.761 ebyli.dat
17.12.2005 02:44 197.761 swmoa.dat
16.12.2005 11:00 3.567 gslxn.txt
16.12.2005 08:48 0 addpj.exe
14.12.2005 22:56 0 msuv.exe
14.12.2005 06:59 68.608 uwqjd.dll
13.12.2005 13:24 0 javatt.exe
13.12.2005 07:43 0 netzc32.exe
12.12.2005 09:53 0 atlwe.exe
11.12.2005 21:24 116 NeroDigital.ini
11.12.2005 06:16 0 sysxl32.exe
07.12.2005 23:11 0 ipym32.exe
05.12.2005 05:43 0 addfc.exe
02.12.2005 20:10 3.244 OEWABLog.txt
02.12.2005 19:55 107.132 UninstallFirefox.exe
02.12.2005 19:55 9.982 mozver.dat
06.11.2005 22:41 500 wmsetup10.log
24.10.2005 14:49 534 DirectX.log
20.10.2005 22:14 68 DVDRegionFree.INI
06.10.2005 22:35 173.913 FaxSetup.log
06.10.2005 22:35 23.799 iis6.log
06.10.2005 22:35 62.510 comsetup.log
06.10.2005 22:35 37.098 ntdtcsetup.log
06.10.2005 22:35 66.000 tsoc.log
06.10.2005 22:35 8.199 msgsocm.log
06.10.2005 22:35 6.792 ocmsn.log
06.10.2005 22:35 1.374 imsins.log
06.10.2005 22:35 7.603 KB898461.log
06.10.2005 22:35 94.027 ocgen.log
06.10.2005 22:35 1.374 imsins.BAK
06.10.2005 22:35 10.949 KB893803v2.log
04.10.2005 20:40 592 win.ini

Verzeichnis von C:\

04.01.2006 17:10 0 sys.txt
04.01.2006 17:09 11.287 system.txt
04.01.2006 17:09 334 systemtemp.txt
04.01.2006 17:07 121.923 system32.txt
04.01.2006 17:06 590.348.288 pagefile.sys
04.01.2006 17:06 536.399.872 hiberfil.sys
04.01.2006 16:33 0 TryDock.log
03.01.2006 22:10 7.311.129 reclock_log.txt

#4 xRABAUKEx

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ppss.exe
C:\Program Files\Icons\Seticon.exe
C:\WINDOWS\system32\rundll32.RadExe


?????????????????????????????????????????????????????????????
O23 - Service: ppScheduler Service for NT - ppedv ag - C:\WINDOWS\system32\ppss.exe

------------------------------------------------------------------------

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage" <---loeschen
"Source" = "C:\WINDOWS\warnhp.html" <---loeschen


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]

öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: Class - {00566D5A-B6F9-27AB-FD3D-31394CDD5109} - C:\WINDOWS\system32\mfcsg32.dll
O2 - BHO: Class - {A66A7703-9E5D-D32F-B86A-2B0EE436B436} - C:\WINDOWS\msuv.dll (file missing)
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\Icons\Seticon.exe
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\tobias\Startmenü\Programme\Autostart\ms.exe" /m
O16 - DPF: {7D30109B-DD2B-4339-BE80-1CD48723C2BC} (LiveX(v6.0.1.0)) - http://195.226.177.148:8888/cab/Live.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appuc32.exe
-------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\iejg.exe
C:\WINDOWS\System32\addzu32.exe
C:\WINDOWS\System32\mfcrn32.exe
C:\WINDOWS\System32\appsu.exe
C:\WINDOWS\System32\addsy32.exe
C:\WINDOWS\System32\appqn32.exe
C:\WINDOWS\system32\appuc32.exe

C:\Dokumente und Einstellungen\tobias\Startmenü\Programme\Autostart\ms.exe

ohne datum in die killbox kopieren

03.01.2006 13:23 13.581 C:\WINDOWS\System32\bzcnr.txt
03.01.2006 13:16 22.854 C:\WINDOWS\System32\stub1.ini
01.01.2006 18:26 0 C:\WINDOWS\System32\ieur32.exe
01.01.2006 11:39 0 C:\WINDOWS\System32\winuc32.exe
01.01.2006 10:26 1.199 C:\WINDOWS\System32\logs1.ini
30.12.2005 11:03 0 C:\WINDOWS\System32\winnu.exe
30.12.2005 09:05 0 C:\WINDOWS\System32\d3ef32.exe
29.12.2005 09:49 1.158 C:\WINDOWS\System32\wpa.dbl
29.12.2005 07:32 0 C:\WINDOWS\System32\sdkzx32.exe
27.12.2005 17:49 0 C:\WINDOWS\System32\netli32.exe
27.12.2005 11:02 0 C:\WINDOWS\System32\javajt32.exe

25.12.2005 01:52 0 C:\WINDOWS\System32\atlpw32.exe
24.12.2005 10:43 0 C:\WINDOWS\System32\ntqm.exe
23.12.2005 17:13 0 C:\WINDOWS\System32\sdktm.exe
23.12.2005 14:12 0 C:\WINDOWS\System32\craw.exe
23.12.2005 10:52 0 C:\WINDOWS\System32\appir.exe
22.12.2005 17:40 0 C:\WINDOWS\System32\apiyo.exe
22.12.2005 05:22 0 C:\WINDOWS\System32\addip.exe
21.12.2005 15:50 0 C:\WINDOWS\System32\ieri.exe
18.12.2005 09:43 0 C:\WINDOWS\System32\crun.exe
18.12.2005 08:59 0 C:\WINDOWS\System32\atlik32.exe
17.12.2005 20:02 13.581 C:\WINDOWS\System32\pvjwe.dat
17.12.2005 19:50 0 C:\WINDOWS\System32\ipct32.exe
17.12.2005 15:23 68.608 C:\WINDOWS\System32\xfucj.dll
16.12.2005 11:04 0 C:\WINDOWS\System32\ntlh.exe
15.12.2005 14:31 0 C:\WINDOWS\System32\wintz.exe
13.12.2005 00:11 0 C:\WINDOWS\System32\winfo.exe
C:\WINDOWS\System32\mfcsg32.dll
C:\WINDOWS\System32\mfcsg32.exe
C:\WINDOWS\System32\sdkiz.exe
C:\WINDOWS\System32\appuc32.exe
C:\WINDOWS\System32\addqj.exe
C:\WINDOWS\System32\addgi.exe
C:\WINDOWS\System32\atlnn32.exe
C:\WINDOWS\System32\d3jd32.exe

C:\WINDOWS\uninstIU.exe
C:\WINDOWS\warnhp.html
C:\WINDOWS\msxs32.exe

31.12.2005 15:06 0 C:\WINDOWS\javatu32.exe
31.12.2005 01:48 0 C:\WINDOWS\mfcll32.exe
30.12.2005 20:38 0 C:\WINDOWS\sysvx.exe

30.12.2005 10:24 133.791 C:\WINDOWS\zastgn.dat
29.12.2005 22:08 0 C:\WINDOWS\sysqw.exe
28.12.2005 09:35 0 C:\WINDOWS\ipvv.exe
28.12.2005 07:22 11.895 C:\WINDOWS\uwqjdw.dat
28.12.2005 02:27 133.791 C:\WINDOWS\tecptt.dat
27.12.2005 11:43 0 C:\WINDOWS\apidk.exe
27.12.2005 06:51 0 C:\WINDOWS\atlbk.exe
27.12.2005 05:15 0 C:\WINDOWS\ukysxn.dat
26.12.2005 04:39 0 C:\WINDOWS\addrh32.exe
25.12.2005 22:54 0 C:\WINDOWS\sdkpd32.exe
25.12.2005 12:30 0 C:\WINDOWS\addan32.exe
24.12.2005 10:50 0 C:\WINDOWS\iemj.exe
22.12.2005 14:19 0 C:\WINDOWS\netlf32.exe
22.12.2005 12:28 0 C:\WINDOWS\appdv.exe
21.12.2005 13:02 0 C:\WINDOWS\atlnt.exe
20.12.2005 04:10 0 C:\WINDOWS\crog32.exe
19.12.2005 04:18 0 C:\WINDOWS\ntiq.exe
18.12.2005 14:56 218.785 C:\WINDOWS\setupact.log
18.12.2005 13:27 197.761 C:\WINDOWS\ebyli.dat
17.12.2005 02:44 197.761 C:\WINDOWS\swmoa.dat
16.12.2005 11:00 3.567 C:\WINDOWS\gslxn.txt

C:\WINDOWS\addpj.exe
C:\WINDOWS\msuv.exe
C:\WINDOWS\uwqjd.dll
C:\WINDOWS\javatt.exe
C:\WINDOWS\netzc32.exe
C:\WINDOWS\atlwe.exe
C:\WINDOWS\sysxl32.exe
C:\WINDOWS\ipym32.exe
C:\WINDOWS\addfc.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

--------------------------------------------------------------------------------

ADSSpy --> loesche alle Streams
http://virus-protect.org/artikel/tools/ADSSpy.exe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

---------------------------------------------------------------------
deaktiviere die Systemwiederherstellung (dann wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

deinstalliere/loesche
C:\Programme\WinHound


Counterspy
http://virus-protect.org/counterspy.html

- nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu

----------------------------------------------------------------------
multiavtool

klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

poste hier die 3 Scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit