SpywareStrike- 4 datfind.bat Dateien und HijackThis Logfile

#1 Leider hat es auch mein System erwischt. Wäre für jede Hilfe dankbar.

Hier die vier Textdateien mit datFind.bat und am Ende die HijackThis Logfile:


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS\system32

12/01/2006 20:49 5,052 ncompat.tlb
12/01/2006 20:38 4,286 ot.ico
12/01/2006 20:38 4,286 ts.ico
12/01/2006 20:31 21,001 ld22FB.tmp

12/01/2006 19:48 2,206 wpa.dbl
12/01/2006 17:41 102,400 wiatwain.dll
12/01/2006 17:41 9,204 mssearchnet.exe
12/01/2006 17:41 9,709 hpEACD.tmp
12/01/2006 17:41 14,832 nvctrl.exe
12/01/2006 17:34 13,665 mscornet.exe

11/01/2006 22:58 5,416 d3d9caps.dat
10/01/2006 20:21 375,406 perfh009.dat
10/01/2006 20:21 51,204 perfc009.dat
10/01/2006 20:21 385,728 perfh007.dat
10/01/2006 20:21 61,968 perfc007.dat
10/01/2006 20:21 884,200 PerfStringBackup.INI
10/01/2006 20:19 221,632 FNTCACHE.DAT
10/01/2006 20:05 90 spupdwxp.log


---------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\DOKUME~1\TO~1\LOKALE~1\Temp

12/01/2006 20:31 32,768 ~DF5B02.tmp
12/01/2006 20:31 218 jusched.log
12/01/2006 20:13 5,168 temp.frD5D3
3 Datei(en) 38,154 Bytes
0 Verzeichnis(se), 19,230,756,864 Bytes frei


-----------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS

12/01/2006 20:31 1,227,789 setupapi.log
12/01/2006 20:14 0 0.log
12/01/2006 20:14 1,859,926 WindowsUpdate.log
12/01/2006 20:14 2,048 bootstat.dat
12/01/2006 20:13 32,566 SchedLgU.Txt
12/01/2006 17:26 460,168 wmsetup.log
12/01/2006 17:26 495 wmsetup10.log
10/01/2006 22:26 49 NeroDigital.ini
10/01/2006 21:58 150,019 Omega Drivers v2.6.87.log
10/01/2006 21:56 451,072 Radeon Omega Drivers v2.6.87 Uninstall.exe
10/01/2006 21:39 995,952 ntbtlog.txt
10/01/2006 21:26 63 wininit.ini
10/01/2006 21:00 548 wiadebug.log
10/01/2006 20:53 50 wiaservc.log
10/01/2006 20:18 222,245 comsetup.log
10/01/2006 20:18 137,337 ntdtcsetup.log
10/01/2006 20:18 129,429 iis6.log
10/01/2006 20:18 1,374 imsins.log
10/01/2006 20:18 335,785 tsoc.log
10/01/2006 20:18 25,352 ocmsn.log
10/01/2006 20:18 15,810 KB912919.log
10/01/2006 20:18 41,930 msgsocm.log
10/01/2006 20:18 453,884 ocgen.log
10/01/2006 20:18 834,539 FaxSetup.log
10/01/2006 20:18 30,626 updspapi.log
10/01/2006 20:18 1,374 imsins.BAK
10/01/2006 20:18 15,189 KB908519.log
10/01/2006 20:18 17,689 KB905915.log
10/01/2006 20:18 26,200 KB904706.log
10/01/2006 20:14 10,082 KB887742.log
10/01/2006 20:14 9,620 KB887472.log
10/01/2006 20:14 5,976 KB886185.log
10/01/2006 20:14 3,461 KB885884.log
10/01/2006 20:07 29,126 spupdsvc.log
10/01/2006 20:07 731 DtcInstall.log
10/01/2006 20:07 316,640 WMSysPr9.prx
10/01/2006 20:06 1,692 OEWABLog.txt
10/01/2006 20:05 1,146,533 setuplog.txt


265 Datei(en) 42,227,013 Bytes
0 Verzeichnis(se), 19,230,740,480 Bytes frei

------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\

12/01/2006 20:54 0 sys.txt
12/01/2006 20:53 13,693 system.txt
12/01/2006 20:53 384 systemtemp.txt
12/01/2006 20:50 113,522 system32.txt
12/01/2006 20:14 805,306,368 pagefile.sys
11/01/2006 20:22 150,378 hpfr5550.log
10/01/2006 19:37 212 boot.ini
10/01/2006 19:30 47,564 NTDETECT.COM
10/01/2006 19:30 251,184 ntldr

16 Datei(en) 805,889,135 Bytes
0 Verzeichnis(se), 19,230,736,384 Bytes frei



---------------------------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 21:04:51, on 12/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\MultiRes\MultiRes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\ToxxxxPxxxx\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxx/xxx.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxx/xxx.aldi.com
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"
-osboot
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [MultiRes] C:\Programme\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
AcRdB0_0_0 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant
Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file:xxx//C:\Programme\Free Download
Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file:xxx//C:\Programme\Free Download
Manager\dlselected.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant
Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Mit FDM herunterladen - file:xxx/C:\Programme\Free Download
Manager\dllink.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file:xxx/C:\Programme\Free
Download Manager\dlpage.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant
Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant
Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {2D0D1F1D-92AF-4D48-A49B-96E49007F486} -
C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9}
hxxx:/www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) -
hxxp:/www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) -
hxxp:/www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) -
hxxp:/go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) -
hxxp:/www.sis.com/download/SISTransfer.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) -
hxxp:/files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
hxxp:/update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122831869
640
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

hxxp:/update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?11369155

86906
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -

hxxp:/h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F38C97-B86A-41F9-A22E-5D5546D7BC9F}: NameServer =

212.6.108.140,212.6.108.141
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: GEARSecurity_BackUp - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 -
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--------------------------------------------------------------------------

Bei der automatischen Auswertung der Logfile auf www.hijackthis.de kommt folgendes Ergebnis:

- C:\WINDOWS\system32\mssearchnet.exe = nasty ????

- O4 - HKLM\..\Run: [SpywareStrike]
C:\Programme\SpywareStrike\SpywareStrike.exe /h = unknown

- O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer
Control) - hxxp:x/www.sis.com/download/SISTransfer.cab = Possibly nasty
Müsste mit dem Motheboard Chipsatz zusammenhängen. Ich denke, der
Eintrag ist ungefährlich, oder?

-O17 - HKLM\System\CCS\Services\Tcpip\..\{58F38C97-B86A-41F9-A22E- 5D5546D7BC9F}: NameServer = 212.6.108.140,212.6.108.141 = Possibly nasty

Hab das erste mal mit solchen Problemen zu kämpfen. Und das ewige schliessen des Pop-Ups "Your Computer is infected!" raubt einem den letzten Nerv. Die Anleitung zur Entfernung habe ich gründlich gelesen und auch die Programme CleanUp, KILLBOX, strike.reg und SmitRem2.8 hab ich heruntergeladen. Leider weiß ich nicht genau, welche Einträge ich jetzt löschen und wie ich genau vorgehen muss.

Hoffentlich könnt ihr mir weiterhelfen. Würde mich sehr freuen und schon mal
Danke im voraus.

MfG
DirtyHarry

#2 DirtyHarry77

arbeite das bitte ab und berichte
http://virus-protect.org/artikel/bfu/spyaxebfu.html

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{58F38C97-B86A-41F9-A22E- 5D5546D7BC9F}: NameServer = 212.6.108.140,212.6.108.141

% Information related to '212.6.108.0 - 212.6.108.255'

inetnum: 212.6.108.0 - 212.6.108.255
netname: EWETEL-S-ACCESS-NET
descr: EWE-TEL
country: DE
admin-c: MB2831-RIPE
tech-c: ETH1-RIPE
status: ASSIGNED PA
mnt-by: EWETEL-MNT
source: RIPE # Filtered

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

danke für die freundliche und schnelle Antwort. Bin bei der Suche nach Hilfe
wegen SpywareStrike gestern auf euer Forum gestossen. Nach einigen Stunden lesen verschiedener Threads, bin ich dann mit Hilfe der "Anleitung zur
Entfernung von Spyaxe" zumindest schon mal das Pop-Up und das Tray-Icon losgeworden. Allerdings bezweifle ich, dass mein System jetzt sauber ist.

Leider bin ich kein Fachmann in Bezug auf den PC und solchen Problemen,
deshalb entschuldige bitte, falls ich dumme Fragen stelle.

-Hast du in meinem Ausgangspost noch einige Zeilen rot eingefärbt?? Was muss ich damit machen? Mit Killbox löschen?

- Mein Provider ist EWE-TEL.NET . Ist der Eintrag 017 der HijackThis Logfile,
den du auch zitiert hast, ok oder muss ich das fixen?

Im Folgenden nochmal die aktuellen datfind.bat Dateien und die HighJack This Logfile:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS\system32

13/01/2006 00:08 9,730 hpCCFB.tmp
12/01/2006 23:01 9,709 hp7658.tmp
12/01/2006 23:01 21,001 ld74F1.tmp
12/01/2006 19:48 2,206 wpa.dbl
12/01/2006 17:41 9,709 hpEACD.tmp
11/01/2006 22:58 5,416 d3d9caps.dat
1

--------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\DOKUME~1\TO~1\LOKALE~1\Temp

13/01/2006 13:53 32,768 ~DF5990.tmp
13/01/2006 13:53 436 jusched.log
13/01/2006 03:08 32,768 ~DF4672.tmp
3 Datei(en) 65,972 Bytes
0 Verzeichnis(se), 19,222,958,080 Bytes frei

------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS

13/01/2006 13:54 1,252,232 setupapi.log
13/01/2006 13:52 0 0.log
13/01/2006 13:51 1,873,036 WindowsUpdate.log
13/01/2006 13:51 2,048 bootstat.dat
13/01/2006 03:30 1,337,348 ntbtlog.txt
13/01/2006 03:26 32,566 SchedLgU.Txt
13/01/2006 00:39 60,416 ALCFDRTM.VER
12/01/2006 17:26 460,168 wmsetup.log
12/01/2006 17:26 495 wmsetup10.log
10/01/2006 22:26 49 NeroDigital.ini
10/01/2006 21:58 150,019 Omega Drivers v2.6.87.log
10/01/2006 21:56 451,072 Radeon Omega Drivers v2.6.87 Uninstall.exe
10/01/2006 21:26 63 wininit.ini
10/01/2006 21:00 548 wiadebug.log
10/01/2006 20:53 50 wiaservc.log
10/01/2006 20:18 137,337 ntdtcsetup.log


----------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\
13/01/2006 14:19 0 sys.txt
13/01/2006 14:19 13,693 system.txt
13/01/2006 14:17 384 systemtemp.txt
13/01/2006 14:16 113,228 system32.txt
13/01/2006 13:51 805,306,368 pagefile.sys
11/01/2006 20:22 150,378 hpfr5550.log
10/01/2006 19:37 212 boot.ini
10/01/2006 19:30 47,564 NTDETECT.COM
10/01/2006 19:30 251,184 ntldr

16 Datei(en) 805,888,841 Bytes
0 Verzeichnis(se), 19,222,958,080 Bytes frei

-------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 14:21:39, on 13/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\MultiRes\MultiRes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Txxx Pxxx\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = httpxx//www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = httpxx//www.aldi.com
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [MultiRes] C:\Programme\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

AcRdB0_0_0 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant

Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file:xxx/C:\Programme\Free Download

Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file:xxx/C:\Programme\Free Download

Manager\dlselected.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant

Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Mit FDM herunterladen - filexx//C:\Programme\Free Download

Manager\dllink.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - filexx//C:\Programme\Free

Download Manager\dlpage.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant

Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant

Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {2D0D1F1D-92AF-4D48-A49B-96E49007F486} -

C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http//www.aldi.com
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) -

http/www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) -

http/www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) -

http/go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) -

http/www.sis.com/download/SISTransfer.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) -

http//files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http//update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?11228318696

40
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http//update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?113691558

6906
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -

http//h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F38C97-B86A-41F9-A22E-5D5546D7BC9F}: NameServer =
212.6.108.140,212.6.108.141
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: GEARSecurity_BackUp - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 -

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Da ich schon einige Threads hier durchstöbert habe, möchte ich noch ein Riesenkompliment an Dich, Sabina, loswerden. Echt bewundernswert, wie
kompetent und mit welcher Geduld du Noobs wie mir weiterhilfst.

Danke!!

MfG
DirtyHarry

#4 hast du das abgearbeitet ? Auch den smitrem ?
http://virus-protect.org/artikel/bfu/spyaxebfu.html

ich frage, weil du nichts geschrieben hast und so nicht weiss, ob die remover funktionieren, denn es gibt immer noch malware.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ja, die Schritte habe ich gestern abend noch abgearbeitet. Allerdings bin ich mir nicht sicher, ob der Bildschirm nach Smitrem blau wurde ( glaube nicht).

BFU und Cleanup hab ich auch durchlaufen lassen.


MfG
DirtyHarry

#6 eigenartig, das muesste eigentlich geloescht sein:

http://virus-protect.org/killbox.html
loesche mit der Killbox
C:\WINDOWS\system32\hpCCFB.tmp
C:\WINDOWS\system32\hp7658.tmp
C:\WINDOWS\system32\ld74F1.tmp

im abgesicherten modus
* Laden: SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
* SmitRem2.8
öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt

kopiere die txt hier
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Sabina

Hier die smitfiles.txt:

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 840 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

----------------------------------------------------------------------


Da mein Bildschirm vorher nicht blau war, sondern noch das normale Wallpaper,
muss ich wohl smitrem im Eifer des Gefechts gestern vergessen haben. Sorry. Jetzt ist der Desktop aber blau. Und das "Clean" am Ende sieht ja auch nicht schlecht aus.

Habe die 3 anderen Einträge jetzt mit Killbox gelöscht und nochmal datfind.bat und highjackthis laufen lassen:


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS\system32

12/01/2006 19:48 2,206 wpa.dbl
11/01/2006 22:58 5,416 d3d9caps.dat
10/01/2006 20:21 375,406 perfh009.dat
10/01/2006 20:21 51,204 perfc009.dat
10/01/2006 20:21 385,728 perfh007.dat
10/01/2006 20:21 61,968 perfc007.dat
10/01/2006 20:21 884,200 PerfStringBackup.INI
10/01/2006 20:19 221,632 FNTCACHE.DAT
10/01/2006 20:05 90 spupdwxp.log
05/01/2006 04:41 2,836,320 MRT.exe
29/12/2005 03:54 280,064 gdi32.dll
23/12/2005 21:47 43,520 CmdLineExt03.dll
01/12/2005 04:31 1,492,480 shdocvw.dll
24/11/2005 00:58 3,013,632 mshtml.dll
24/11/2005 00:58 1,022,464 browseui.dll


----------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\DOKUME~1\Txxxx~1\LOKALE~1\Temp

13/01/2006 15:49 32,768 ~DFF290.tmp
13/01/2006 15:49 218 jusched.log
2 Datei(en) 32,986 Bytes
0 Verzeichnis(se), 19,208,646,656 Bytes frei

-----------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS

13/01/2006 15:49 1,258,980 setupapi.log
13/01/2006 15:49 0 0.log
13/01/2006 15:49 1,879,910 WindowsUpdate.log
13/01/2006 15:49 2,048 bootstat.dat
13/01/2006 15:48 1,465,386 ntbtlog.txt
13/01/2006 15:47 240,867 setupact.log
13/01/2006 15:41 32,566 SchedLgU.Txt
13/01/2006 00:39 60,416 ALCFDRTM.VER
12/01/2006 17:26 460,168 wmsetup.log
12/01/2006 17:26 495 wmsetup10.log
10/01/2006 22:26 49 NeroDigital.ini
10/01/2006 21:58 150,019 Omega Drivers v2.6.87.log
10/01/2006 21:56 451,072 Radeon Omega Drivers v2.6.87 Uninstall.exe
10/01/2006 21:26 63 wininit.ini


-------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\

13/01/2006 16:57 0 sys.txt
13/01/2006 16:56 13,741 system.txt
13/01/2006 16:55 335 systemtemp.txt
13/01/2006 16:54 113,036 system32.txt
13/01/2006 16:46 150,714 hpfr5550.log
13/01/2006 15:48 805,306,368 pagefile.sys
13/01/2006 15:45 1,374 smitfiles.txt
10/01/2006 19:37 212 boot.ini
10/01/2006 19:30 47,564 NTDETECT.COM
10/01/2006 19:30 251,184 ntldr

17 Datei(en) 805,890,358 Bytes
0 Verzeichnis(se), 19,208,646,656 Bytes frei

-------------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 16:58:18, on 13/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\MultiRes\MultiRes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE
C:\Dokumente und Einstellungen\Txxxx Pxxxx\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http//www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http//www.aldi.com
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [MultiRes] C:\Programme\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file//C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file/C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Mit FDM herunterladen - file/C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file/C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {2D0D1F1D-92AF-4D48-A49B-96E49007F486} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - htt/w.sis.com/ocis/OSInfo.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http/www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - htww.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) -

httgo.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - httpwww.sis.com/download/SISTransfer.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http/files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http/update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122831869640
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http/update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136915586906
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http/www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -

http/h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F38C97-B86A-41F9-A22E-5D5546D7BC9F}: NameServer = 212.6.108.140,212.6.108.141
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: GEARSecurity_BackUp - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Ist der Eintrag unter 017 mit der komischen IP 212.xx........ gefährlich?
Oder gehört die IP zu EWETEL ?

Wenn ich meine Netzwerkverbindung über das Icon im Tray reparieren möchte ("Netzwerkverbindung reparieren"), dann kommt eine Fehlermeldung und ich kann das Fenster nicht mehr schliessen.


MfG
DirtyHarry
-----------------------------------------------------------------

Edit:

Nach über 3 Stunden ist Kapersky gerade fertig mit dem Komplett-Scan.
9 infizierte Dateien werden angezeigt. Leider weiß ich nicht, wie ich die
löschen kann. Obwohl ich in der Ordneranzeige "Systemdateien anzeigen" aktiviert habe, finde ich diesen Ordner nicht:

C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E- 799BB7000B44}\RP1074

Ist mein System immer noch infiziert?

Hier die komplette Kaspersky.txt:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, January 13, 2006 20:16:41
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 13/01/2006
Kaspersky Anti-Virus database records: 160557
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 106525
Number of viruses found: 5
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 8808 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597787.tlb Infected: Trojan-Downloader.Win32.Zlob.eo
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597802.exe Infected: Trojan-Downloader.Win32.Zlob.eo
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597809.exe Infected: Trojan-Downloader.Win32.Zlob.en
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597814.tlb Infected: Trojan-Downloader.Win32.Zlob.eq
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597843.exe Infected: Trojan-Downloader.Win32.Zlob.eq
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597909.exe Infected: Trojan-Downloader.Win32.Zlob.eq
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597910.exe Infected: Trojan-Downloader.Win32.Zlob.ep
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597932.dll Infected: not-virus:Hoax.Win32.Renos.ap
C:\System Volume Information\_restore{BE2FC4D2-32FC-4079-902E-799BB7000B44}\RP1074\A0597947.tlb Infected: Trojan-Downloader.Win32.Zlob.eq

Scan process completed.

-------------------------------------------------------------------

Edit 2:

Jetzt ist auch der Panda-Scan fertig. Es werden 11 infizierte Dateien angezeigt:


Incident Status Location


Spyware:spyware/new.net Not disinfected

C:\WINDOWS\NDNuninstall5_48.exe




Spyware:Cookie/2o7.net Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxx pxxx@2o7[1].txt


Spyware:Cookie/Adtech Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxxx pxxx@adtech[2].txt


Spyware:Cookie/Falkag Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxxx pxxxx@as-eu.falkag[2].txt


Spyware:Cookie/Falkag Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxxx xxx@as1.falkag[1].txt


Spyware:Cookie/2o7.net Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxxxxx@2o7[1].txt


Spyware:Cookie/Adtech Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxxxxxxh@adtech[2].txt


Spyware:Cookie/Falkag Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxxxxh@as-eu.falkag[2].txt


Spyware:Cookie/Falkag Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Cookies\txxxxh@as1.falkag[1].txt


Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Desktop\smitRem\Process.exe


Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente

und Einstellungen\Txxxh\Desktop\smitRem.exe[Process.exe]


Hacktool:HackTool/EvID Not disinfected

C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe




Spyware:Spyware/New.net Not disinfected

C:\WINDOWS\NDNuninstall5_48.exe


Spyware:Spyware/New.net Not disinfected

C:\WINDOWS\NDNuninstall5_64.exe


-Die Dateien NDNuninstall5_48.exe und NDNuninstall5_64.exe sind bereits 2004 erstellt worden. Ist mein Rechner schon länger verseucht ?

- Wieso wird hier smitrem von Panda als verdächtig angezeigt?

- Wie werde ich diese ganzen verseuchten Dateien los ? Mit Killbox?

MfG
DirtyHarry

#8 die gehoeren zum new.net, loesche sie mit der Killbox

C:\WINDOWS\NDNuninstall5_48.exe
C:\WINDOWS\NDNuninstall5_64.exe

loesche manuell:
C:\Programme\Gemeinsame Dateien\Synacast <---wozu brauchst du ein Hacktool ????

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (booten und wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

dann ist wieder alles in bester Ordnung

---------------------------------------------------------

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{58F38C97-B86A-41F9-A22E-5D5546D7BC9F}: NameServer = 212.6.108.140,212.6.108.141

role: EWE TEL Hostmaster
address: EWE TEL GmbH
address: Cloppenburger Strasse 310
address: D-26133 Oldenburg
address: Germany

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Sabina

- habe die beiden new.net.-Installer mit Killbox gelöscht.

- Synacast gehört zu PPLive ( Tool für TV-Streams ). Damit kann man
einen chinesichen Fernsehsender namens CCTV empfangen. Die übertragen
am Wochenende jeweils ein Spiel der Fußball-Bundesliga.
Soweit ich das in anderen Foren gelesen habe, ist die Software
unbedenklich. Oder weißt du mehr, Sabina?

- Habe mich mal auf verschiedenen Seiten über diese lästigen Trojaner
"SpywareStrike und Konsorten" informiert. Da kann man echt nur mit dem
Kopf schütteln. Eine Software zur Bekämpfung von Spyware die sich selber
so aggressiv ins System einnistet! Wo gibts denn sowas???
Und dann können die anderen Antiviren Programme aus juristischen Gründen
noch nicht mal gegen SpywareStrike vorgehen, weil es sich ja nicht um Viren
handelt. Dieses hartnäckige Programm wird sogar auf Chip.de in der 30-Tage-
Trial-Version beworben!

- Mein Rechner verhält sich allem Anschein nach normal. Nur wenn ich die
Netzwerkverbindung reparieren will, dann kommt eine Fehlermeldung
und das Fenster lässt sich nicht mehr schliessen ( "Lösche ARP-Cache,
Lösche NET.BT, ...... DNS Cache, Registriere DNS ------> Verbindung
konnte nicht repariert werden"). Sollte ich dem weiter nachgehen oder ist
das unbedenklich ? Ich befürchte das sich dieses Problem nicht so einfach
per Ferndiagnose lösen lässt, oder? Das Fenster stört zwar, aber eigentlich
hab ich die Funktion "Netzwerkverbindung reparieren" bisher noch nicht
gebraucht.

- Kann ich die oben geposteten Funde von Kapersky und PandaScan jetzt
außer Acht lassen oder muß noch etwas gelöscht werden ?

Vielen, vielen Dank nochmal Sabina. :-)

MfG
DirtyHarry

#10 du sollst das Netzwerk nicht reparieren...ich hatte dir doch schon geschrieben, dass deine Tcpip korrekt ist

Es ist alles wieder in Ordnung.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ........ok, ich habe verstanden.

Auch auf die Gefahr hin, das ich mich wiederhole:
Vielen, vielen Dank Sabina. Du hast mir sehr weiter geholfen.

MfG
DirtyHarry