Spy-Sheriff + zusätzliches anderes Problem

#0
08.01.2006, 13:03
...neu hier

Beiträge: 8
#1 Ok, also da Spy-Sheriff allgemein bekannt ist keine weiteren Ausführungen,
aber zusätzlich ist in der Taskleiste dieses komische Symbol (roterPunkt mit weißem Kreuz) dass mich also 15sek auf Spyware hinweist und dem ich auch noch diesen SpySheriff zu verdanken habe, weil dieser nämlich runtergeladen+installiert wird wenn man drauf klickt.
ok, natürlich hab ich das gemacht, ich denk ja nicht nach und hab versucht mit AdAware und Norton das wieder wegzukriegen, also der SpySheriff an sich ist glaub ich evtl sogar weg, aber irgendwie benutzt er mich grade als emailbomber und schickt eine email nach der anderen (seh das weil Norton ja immer die emails scannt)
ok, also ich hab mich halt einfach mal an die SpyAxe-Anleitung gehalten (dachte das trifft ja vlt auch auf mich zu) und hab mit cleanUp! gescannt, gerebootet und dann HJT laufen lassen, obwohl ich das nicht so ganz versteh weil in der Anleitung steht ich soll das Häkchen bei Malware aktivieren aber sowas finde ich da garnicht.
hmm.. hier dann auf jeden Fall mal die LogDatei (die komischerweise auch anders aussieht wie bei den Leuten im Forum...
auf jeden Fall wäre es sehr toll wenn ihr mir helfen könntet, weil auf Formatieren hab ich überhaupt keine Lust dafür sind meine Daten hier zu wichtig!!
Danke im Voraus
Nils

PS: hier die LogFile

Logfile of HijackThis v1.99.1
Scan saved at 12:49:32, on 08.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\paytime.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3d.exe
C:\windows\banmanpro.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\winstall.exe
C:\WINDOWS\system32\paytime.exe

C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Dokumente und Einstellungen\Nils Steffen\Desktop\hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Internet Security\ccEmFlSv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [zmii] C:\PROGRA~1\GEMEIN~1\zmii\zmiim.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\..\{11C1C5FC-CE91-4B0D-A63F-39442063B0A5}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{69E815E8-DCF2-4BE5-A4E7-16712E754A1F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{11C1C5FC-CE91-4B0D-A63F-39442063B0A5}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{11C1C5FC-CE91-4B0D-A63F-39442063B0A5}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Seitenanfang Seitenende
08.01.2006, 17:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Nilstar

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

datfindbat (kopiere die 4 Textdateien (3 Monate vom Datum her)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2006, 17:21
...neu hier

Themenstarter

Beiträge: 8
#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5F40-4A1F

Verzeichnis von C:\WINDOWS\system32

13.01.2006 17:12 12 tickcnt.bin
13.01.2006 17:03 1.158 wpa.dbl
07.01.2006 20:53 425.984 atmtd.dll
07.01.2006 20:36 74.752 p2p.exe
07.01.2006 20:36 56.628 paradise.raw.exe
07.01.2006 20:36 4 winsub.xml
07.01.2006 20:36 65 svcp.csv
07.01.2006 20:35 7.192 paytime.exe
07.01.2006 20:35 45.372 wmedia32.exe

29.12.2005 03:54 280.064 gdi32.dll
25.12.2005 19:43 98.304 CmdLineExt.dll
25.12.2005 15:33 6.977 jupdate-1.5.0_06-b05.log
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
20.11.2005 12:36 52.962 perfc009.dat
20.11.2005 12:36 380.548 perfh009.dat
20.11.2005 12:36 63.778 perfc007.dat
20.11.2005 12:36 391.244 perfh007.dat
20.11.2005 12:36 897.778 PerfStringBackup.INI
11.11.2005 17:16 146.808 FNTCACHE.DAT
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:08 1.839.616 win32k.sys
03.10.2005 04:35 176.167 rmoc3260.dll
03.10.2005 04:34 5.632 pndx5032.dll
03.10.2005 04:34 6.656 pndx5016.dll
03.10.2005 04:34 278.528 pncrt.dll
01.10.2005 22:55 100 LuResult.txt



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5F40-4A1F

Verzeichnis von C:\DOKUME~1\NILSST~1\LOKALE~1\Temp

13.01.2006 17:14 822 jusched.log
13.01.2006 17:12 917.504 MFPL7014.DLL
13.01.2006 17:06 16.384 ~DFBE50.tmp
13.01.2006 17:06 16.384 ~DFA7E6.tmp
13.01.2006 17:05 0 $b17a2e8.tmp
08.01.2006 14:39 72.192 ~e5.0001
6 Datei(en) 1.023.286 Bytes
0 Verzeichnis(se), 19.440.070.656 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5F40-4A1F

Verzeichnis von C:\WINDOWS

13.01.2006 17:13 1.621.690 WindowsUpdate.log
13.01.2006 17:08 3.304 KB908519.log
13.01.2006 17:04 0 0.log
13.01.2006 17:03 157 wiadebug.log
13.01.2006 17:03 50 wiaservc.log
13.01.2006 17:03 2.048 bootstat.dat
08.01.2006 17:49 32.622 SchedLgU.Txt
08.01.2006 17:49 1.125 winamp.ini
08.01.2006 02:12 0 enewsletterpro1.dat
07.01.2006 20:40 1.999 desktop.html
07.01.2006 20:38 0 drsmartloadb1.dat
07.01.2006 20:37 69.888 banmanpro.exe
07.01.2006 20:37 40 teller2.chk
07.01.2006 20:36 41.216 enewsletterpro.exe
07.01.2006 20:36 3.072 ms1.exe
07.01.2006 20:36 2.033 hosts
07.01.2006 20:36 1.024 tool5.exe
07.01.2006 20:36 1.024 tool4.exe
07.01.2006 20:36 8.238 tool3.exe
07.01.2006 20:35 3.061 secure32.html
07.01.2006 20:35 31.744 tool2.exe
07.01.2006 20:35 73.316 kl.exe
07.01.2006 20:34 0 uniq

06.01.2006 18:13 25.450 wmsetup.log
06.01.2006 15:55 43.440 iis6.log
06.01.2006 15:55 102.412 comsetup.log
06.01.2006 15:55 60.295 ntdtcsetup.log
06.01.2006 15:55 109.879 tsoc.log
06.01.2006 15:55 1.355 imsins.log
06.01.2006 15:55 15.249 ocmsn.log
06.01.2006 15:55 11.008 KB912919.log
06.01.2006 15:55 137.157 ocgen.log
06.01.2006 15:55 13.849 msgsocm.log
06.01.2006 15:55 271.269 FaxSetup.log
06.01.2006 15:55 828.238 setupapi.log
06.01.2006 15:55 21.822 updspapi.log
05.01.2006 22:12 11.716 ModemLog_Nokia Card Phone 2.0.txt
03.01.2006 17:45 1.989 uninstall_nmon.vbs
15.12.2005 22:41 1.393 imsins.BAK
15.12.2005 22:41 10.410 KB910437.log
15.12.2005 22:41 16.323 KB905915.log
09.12.2005 17:00 72.353 DirectX.log
27.11.2005 19:06 99.970 UninstallFirefox.exe
27.11.2005 19:06 3.571 mozver.dat
11.11.2005 16:43 11.801 KB896424.log
05.11.2005 22:11 42 KISS CD3.pls
05.11.2005 22:10 42 mdv736.pls
05.11.2005 22:05 42 KISS CD2.pls
05.11.2005 21:52 42 KISS CD1.pls
04.11.2005 22:15 23.552 xobglu32.dll
04.11.2005 22:15 63.488 xobglu16.dll
15.10.2005 22:08 22.927 KB901017.log
15.10.2005 22:07 25.143 KB902400.log
15.10.2005 22:07 15.344 KB896688.log
15.10.2005 22:07 12.069 KB905414.log
14.10.2005 23:22 13.345 KB900725.log
14.10.2005 15:12 11.350 KB904706.log
14.10.2005 15:11 12.088 KB905749.log
03.10.2005 04:40 25 cdplayer.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5F40-4A1F

Verzeichnis von C:\

13.01.2006 17:21 0 sys.txt
13.01.2006 17:20 8.515 system.txt
13.01.2006 17:20 539 systemtemp.txt
13.01.2006 17:16 95.378 system32.txt
13.01.2006 17:03 501.731.328 hiberfil.sys
13.01.2006 17:03 754.974.720 pagefile.sys

07.01.2006 20:53 27.343 mc-110-12-0000228.exe
07.01.2006 20:35 3.061 secure32.html
07.01.2006 20:35 31.744 winstall.exe

18.10.2005 19:11 77 DVDPATH.TXT
02.08.2005 20:52 211 boot.ini
04.08.2004 09:00 4.952 bootfont.bin
04.08.2004 09:00 47.564 ntdetect.com
04.08.2004 09:00 251.184 ntldr
14 Datei(en) 1.257.176.616 Bytes
0 Verzeichnis(se), 19.440.033.792 Bytes frei
Seitenanfang Seitenende
13.01.2006, 18:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\p2p.exe
C:\WINDOWS\system32\paradise.raw.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\wmedia32.exe
C:\DOKUME~1\NILSST~1\LOKALE~1\Temp\$b17a2e8.tmp
C:\WINDOWS\enewsletterpro1.dat
C:\WINDOWS\desktop.html
C:\WINDOWS\drsmartloadb1.dat
C:\WINDOWS\banmanpro.exe
C:\WINDOWS\teller2.chk
C:\WINDOWS\enewsletterpro.exe
C:\WINDOWS\ms1.exe
C:\WINDOWS\hosts
C:\WINDOWS\tool5.exe
C:\WINDOWS\tool4.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\secure32.html
C:\WINDOWS\tool2.exe
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq
C:\mc-110-12-0000228.exe
C:\PROGRA~1\GEMEIN~1\zmii\zmiim.exe
C:\secure32.html
C:\winstall.exe

pc neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [zmii] C:\PROGRA~1\GEMEIN~1\zmii\zmiim.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

C:\Programme\Gemeinsame Dateien\zmii <--loeschen

kopiere das log vom Silentrunner

http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2006, 20:00
...neu hier

Themenstarter

Beiträge: 8
#5 ok was soll ich damit machen??

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]
"Shell" = ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"" [null data]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"UpdateManager" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"eabconfg.cpl" = "C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start" ["Hewlett-Packard "]
"Cpqset" = "C:\Programme\HPQ\Default Settings\cpqset.exe" [null data]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup" ["InstallShield Software Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"UIStarter" = ""C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe"" [null data]
"DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"WMedia32" = "wmedia32.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! docent0\DLLName = "docent0.dll" [file not found]
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]



Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Startup items in "Nils Steffen" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Meinen Computer prüfen - Nils Steffen" -> launches: "C:\PROGRA~1\NORTON~2\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 26
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]

"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Command Service, cmdService, "C:\WINDOWS\TmlscyBTdGVmZmVu\command.exe" [null data]
ISSvc, ISSVC, ""C:\Programme\Norton Internet Security\ISSVC.exe"" ["Symantec Corporation"]
Network Monitor, Network Monitor, "C:\Programme\Network Monitor\netmon.exe service" [null data]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 153 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 24 seconds.
---------- (total run time: 229 seconds)








OK NOCH WAS:
Der schickt die ganze Zeit wahllos emails ab nach irgendwo..
bis zu 10 auf einma.. was soll ich machen? Ich verzweifel gleich!
Dieser Beitrag wurde am 13.01.2006 um 20:06 Uhr von Nilstar editiert.
Seitenanfang Seitenende
13.01.2006, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Lade:
SmitRem2.8 --> entpacke auf dem Desktop
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"Wallpaper" = "C:\WINDOWS\desktop.html" --- loeschen

oder:unter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"Wallpaper" = "C:\WINDOWS\desktop.html" --- loeschen


---------------------------------------------------------------------------
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shell"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMedia32"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]


öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll

kopiere in die Killbox:und loesche

C:\WINDOWS\SYSTEM32\docent0.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp
C:\WINDOWS\TmlscyBTdGVmZmVu\command.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "sheriff.reg" auf dem Desktop doppelklicken.

loeschen:
C:\WINDOWS\TmlscyBTdGVmZmVu

SmitRem2.8
öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> kopiere hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2006, 00:51
...neu hier

Themenstarter

Beiträge: 8
#7 soweit so super...
hab sogar mein hintergrundbild wieder.. juhuu vielen dank!!
aber jetz noch eins!
Weil ich hab glaub ich nochn Ding drauf, weil der emails verschickt die ganze zeit.
halt auch nich über incredimail oder so, sondern übern eigenen client glaub ich..

hier erstma die logfile..

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

atmtd.dll
atmtd.dll._


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 792 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)
Seitenanfang Seitenende
14.01.2006, 01:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 du hast/hattest einen Goldrun-Virus drauf...mal sehen, ob der kaspersky noch was findet ;)

http://virus-protect.org/onlinescan.html
scanne mit Kaspersky und kopiere hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2006, 09:58
...neu hier

Themenstarter

Beiträge: 8
#9 ooooh je... wie krieg ich das denn bloß wieder weg??


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, January 14, 2006 09:50:32
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 14/01/2006
Kaspersky Anti-Virus database records: 171722
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
F:\

Scan Statistics:
Total number of scanned objects: 59447
Number of viruses found: 22
Number of infected objects: 66
Number of suspicious objects: 0
Duration of the scan process: 5688 sec

Infected Object Name - Virus Name
C:\Programme\Network Monitor\netmon.exe Infected: not-a-virus:Monitor.Win32.NetMon.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\017B73E1.exe Infected: Trojan-Clicker.Win32.VB.kc
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\018247D9.exe Infected: Trojan.Win32.StartPage.agp
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\04414A93.tmp Infected: Trojan-Downloader.Win32.CWS.s
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\06915D3B.tmp Infected: Email-Worm.Win32.Bagle.ee
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2AF64558.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2F883BC2.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2F883BC2.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ABA12EA.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ABA12EA.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ABD3CE7.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC166E3.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC166E3.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC410DF.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC73ADC.exe Infected: Trojan-Downloader.Win32.TSUpdate.o
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ACB64D8.exe Infected: Trojan-Downloader.Win32.TSUpdate.o
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ACE0ED5.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ACE0ED5.txt Infected: Trojan-Downloader.Win32.Adload.j
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD80CCA.exe Infected: Trojan-Downloader.Win32.TSUpdate.p
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ADB36C6.exe Infected: Trojan-Downloader.Win32.TSUpdate.n
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AE10ABF.exe Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\41F43C8D.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\42733E62.tmp Infected: Trojan-Downloader.Win32.PassAlert.i
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5BFE27EC.exe Infected: Trojan-Downloader.Win32.TSUpdate.l
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\652E6758.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\70BE2357.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\718B428F.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\718B428F.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\718F6C8B.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\71921687.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0014915.exe/run.exe Infected: Trojan-Downloader.Win32.PassAlert.i
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0014915.exe Infected: Trojan-Downloader.Win32.PassAlert.i
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0014921.exe Infected: Trojan-Downloader.Win32.PassAlert.i
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0015144.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0015145.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0015149.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018228.exe Infected: Trojan-Clicker.Win32.VB.kc
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018229.exe Infected: Trojan.Win32.StartPage.agp
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018232.exe Infected: SpamTool.Win32.Mailbot.s
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018233.exe Infected: Packed.Win32.Klone.b
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018235.exe Infected: Trojan.Win32.StartPage.aha
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018236.exe Infected: Trojan-Downloader.Win32.Tiny.al
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018239.exe Infected: Packed.Win32.Klone.b
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018240.exe Infected: not-virus:Hoax.Win32.Renos.an
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018241.exe Infected: Trojan-Spy.Win32.Agent.jl
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018243.exe Infected: not-virus:Hoax.Win32.Renos.an
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019283.dll Infected: Trojan-Spy.Win32.Goldun.gj
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019290.exe/run.exe Infected: Trojan-Downloader.Win32.PassAlert.i
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019290.exe Infected: Trojan-Downloader.Win32.PassAlert.i
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019297.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019300.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019301.dll Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019379.exe Infected: Trojan-Spy.Win32.Agent.jl
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019380.dll Infected: Trojan-Spy.Win32.Agent.jl
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019381.dll Infected: Trojan-Spy.Win32.Agent.jl
C:\WINDOWS\system32\docentd.sys Infected: Trojan-Spy.Win32.Goldun.gj

Scan process completed.
Seitenanfang Seitenende
14.01.2006, 15:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 loesche mit der Killbox:
C:\WINDOWS\system32\docentd.sys

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

booten und wieder aktivieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2006, 16:10
...neu hier

Themenstarter

Beiträge: 8
#11 ja hab ich aber er sendet immernoch emails...
nur weniger gerade... hmm
soll ich die ganzen Dateien, die kaspersky gefunden hat alle löschen??
weiß ja nich.. habs erstma gelassen, weil das ja irgendwelche systemdatein zu sein schienen (aber ich kenn mich da auch nich so aus muss ich sagen)
Seitenanfang Seitenende
14.01.2006, 17:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 mit dem deaktivieren der systemwiederherstellung werden geloescht:
C:\System Volume Information\_restore

musst du loeschen, das ist der Goldrun-Virus

C:\WINDOWS\system32\docentd.sys
C:\WINDOWS\SYSTEM32\docent0.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2006, 18:35
...neu hier

Themenstarter

Beiträge: 8
#13 ja der war unter anderem auch noch in c:/!s...(weiß nich mehr weiter)
hab alles so gemacht, trotzdem werden weiter emails verschickt..
lass grad zum 3ten ma kaspersky laufen aber mittlerweile findet er auch garnix mehr... (sieht zumindest danach aus)
was kann das noch sein??
Seitenanfang Seitenende
14.01.2006, 18:42
Moderator

Beiträge: 7805
#14 Arbeite schon mal etwas vor, damit Sabina die Infos schon mal bekommt:

Nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml

Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den Rechner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.01.2006, 01:22
...neu hier

Themenstarter

Beiträge: 8
#15 ja kay bin grad dabei, aber naja kaspersky hat doch was gefunden...
so einiges letztlich... soll ich das alles löschen??

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, January 15, 2006 01:14:57
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 14/01/2006
Kaspersky Anti-Virus database records: 171797
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 54602
Number of viruses found: 11
Number of infected objects: 35
Number of suspicious objects: 0
Duration of the scan process: 4997 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000002.exe Infected: Trojan-Clicker.Win32.VB.kc
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000003.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000003.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000004.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000004.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000005.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000006.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000007.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000008.exe Infected: Trojan-Downloader.Win32.Adload.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000009.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000009.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000010.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000010.exe Infected: not-a-virus:AdWare.Win32.CommAd.a
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000011.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000012.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000013.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000014.exe Infected: Trojan-Downloader.Win32.Small.buy
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000017.exe Infected: Trojan.Win32.StartPage.agp
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000018.exe Infected: Trojan-Downloader.Win32.TSUpdate.o
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000019.exe Infected: Trojan-Downloader.Win32.TSUpdate.o
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000020.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe Infected: Trojan-Downloader.Win32.TSUpdate.f
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000024.exe Infected: Trojan-Downloader.Win32.TSUpdate.l
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000025.exe Infected: Trojan-Downloader.Win32.TSUpdate.p
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000026.exe Infected: Trojan-Downloader.Win32.TSUpdate.n
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000027.exe Infected: Trojan-Downloader.Win32.TSUpdate.f

Scan process completed.



uuuund hier noch die blacklightlist!

01/15/06 01:23:10 [Info]: BlackLight Engine 1.0.30 initialized
01/15/06 01:23:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/15/06 01:23:11 [Note]: 7019 4
01/15/06 01:23:11 [Note]: 7005 0
01/15/06 01:23:14 [Note]: 7006 0
01/15/06 01:23:14 [Note]: 7011 264
01/15/06 01:23:15 [Note]: FSRAW library version 1.7.1014
01/15/06 01:23:51 [Info]: Hidden file: C:\WINDOWS\system32\drivers\i386p.sys
01/15/06 01:23:51 [Note]: 10002 1
01/15/06 01:23:57 [Info]: Hidden file: C:\WINDOWS\system32\msctl32.dll
01/15/06 01:23:57 [Note]: 10002 1
01/15/06 01:27:47 [Note]: 7007 0
Dieser Beitrag wurde am 15.01.2006 um 01:28 Uhr von Nilstar editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: