Trojaner Tr/Dldr.Agent.uj1

#1

Zitat

Hallo Sabina,
ich hab im Forum gelesen,dass hier auch jemand den Trojaner Tr/Dldr.Agent.uj1 hat. Ich hab ihn seit zwei Wochen und bin am verzweifeln.
Ich hab ihn mehrmals mit Hijackthis, ewido anti-malware und Spysweeper versucht zu löschen.
Allerdings baut er sich bei jedem Neustart wieder in die System Volume Information report-datei ein.Wenn ich dann wieder ewido darüber laufen lasse, findet es erneut ca 12 riskante Dateien.
Ich schicke Dir anbei das Report-protikoll von Hijackthis und ewido.
Wäre sehr dankbar,wenn Du sie Dir mal ansehen könntest.

Logfile of HijackThis v1.99.1
Scan saved at 16:52:52, on 20.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Neuer Ordner\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Frank Ricco\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - URLSearchHook: (no name) - {1EA50CF8-AE2D-FA83-0676-9DA9450C6AF4} - vxdman.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis Schedule] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule\schedule.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos\setup.exe -tipoftheday 0 -type5
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{18403B89-A05F-4C6C-9D09-C2A3FA692363}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C4ABCD-D6BF-4487-97C5-59D4D8A3FB6D}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{A45DE974-2052-404C-87DC-3FD2FCE97CC6}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CS1\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CS2\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - E:\Neuer Ordner\ewido anti-malware\ewidoctrl.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 16:51:47, 20.01.2006
+ Report-Checksumme: 5AD3F4D7

+ Scanergebnis:

[868] VM_00D60000 -> Downloader.Agent.uj : Fehler beim Säubern
[896] VM_00B20000 -> Downloader.Agent.uj : Fehler beim Säubern
[2008] VM_008C0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2164] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2304] VM_00870000 -> Downloader.Agent.uj : Fehler beim Säubern
[2312] VM_00980000 -> Downloader.Agent.uj : Fehler beim Säubern
[2364] VM_00AA0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2388] VM_003A0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2928] VM_003B0000 -> Downloader.Agent.uj : Fehler beim Säubern
C:\Dokumente und Einstellungen\Frank Ricco\Cookies\frank ricco@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Frank Ricco\Cookies\frank ricco@microsoftwga.112.2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\System Volume Information\_restore{4C1370E4-2AC6-4847-8696-15CABFA85639}\RP11\A0003420.exe -> Spyware.Msnagent : Gesäubert mit Backup


::Report Ende


Grüße frank31

__________
MfG Sabina

rund um die PC-Sicherheit

#2

Zitat

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

O17 - HKLM\System\CCS\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{18403B89-A05F-4C6C-9D09-C2A3FA692363}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C4ABCD-D6BF-4487-97C5-59D4D8A3FB6D}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{A45DE974-2052-404C-87DC-3FD2FCE97CC6}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CS1\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CS2\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread


stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,
tut mir leid,dass ich mich erst jetzt wieder melde.
Ich war noch in einem anderen Forum.
Dort hab ich dann auf Anweisung FixWareout laufen lassen und einige Dateien mit Hijackthis gelöscht.Danach dachte ich der Trojaner wäre weg, bis AntiVir heute moregen wieder angezeigt hat, dass Der TR/Dldr.Agent.uj.1 auf dem Rechner ist.
Ich hab ihn danach gelöscht, nach ca 30 min kam aber dann wieder die gleich Anzeige.Ich hab ihn dann wieder gelöscht.
Das geschah insgesammt drei mal.
Seitdem kam nichts mehr von AntiVir.
Bin mir nicht sicher, ob er jetzt weg ist.
Ich schreibe, falls er nochmal auftaucht.
Vielen Dank.
Grüße Frank

#4 ich glaube nicht, dass der Wareout weg ist, (mit dem, was du hier beschrieben hast....) aber wenn du in einem anderen Forum hilfe gefunden hast, dann ist ja gut.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,
nachdem ich schon gern wüsste, ob der wareout noch auf meinem Rechner ist und ich in dem anderen Forum nicht weiterkomme ohne dass mir der AntiVir wieder etwas anzeigt, möchte ich Dich darum bitten, mir zu helfen.
Die folgenden Dateien habe ich bereits gelöscht:

R3 - URLSearchHook: (no name) - {1EA50CF8-AE2D-FA83-0676-9DA9450C6AF4} - vxdman.dll (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{18403B89-A05F-4C6C-9D09-C2A3FA692363}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C4ABCD-D6BF-4487-97C5-59D4D8A3FB6D}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{A45DE974-2052-404C-87DC-3FD2FCE97CC6}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CS1\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155
O17 - HKLM\System\CS2\Services\Tcpip\..\{087C64D3-7B9A-45F2-87ED-AF9F72485438}: NameServer = 85.255.115.22,85.255.112.155

Hier ist der Scan und die anderen Dateien:

Scan-Bericht
Sonntag, 22. Januar 2006 23:59:59 - 00:28:58
Computername: FRANK
Scan-Methode: Computer vollständig überprüfen
Ziel: C:\ E:\ + Systemregistrierung + Rootkits


--------------------------------------------------------------------------------

Ergebnis
Keine Malware gefunden



--------------------------------------------------------------------------------

Statistiken
Gescannt:
Dateien: 35605
Systemregistrierung: 4365
Nicht gescannt: 5
Ergebnis:
Viren: 0
Spyware: 0
Verdächtige Elemente: 0
Aktionen:
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Unter Quarantäne gestellt: 0
Fehlgeschlagen: 0
Boot-Sektoren:
Gescannt: 1
Infiziert: 0
Verdächtige Elemente: 0
Desinfiziert: 0
Dateien, nicht gescannt:
Datei C:\pagefile.sys kann nicht geöffnet werden.
Datei C:\WINDOWS\system32\drivers\atapi.sys kann nicht geöffnet werden.
Datei C:\WINDOWS\system32\config\default kann nicht geöffnet werden.
Datei C:\WINDOWS\SoftwareDistribution\EventCache\{E86FF472-6E4D-47BF-96B6-964FB85BF730}.bin kann nicht geöffnet werden.
Datei C:\Dokumente und Einstellungen\Frank Ricco\Anwendungsdaten\ispnews\ispn.ini kann nicht geöffnet werden.F-Secure antivirus


--------------------------------------------------------------------------------

Optionen
Version der Definitionen:
Viren: 2006-01-20_07
Spyware: 2006-01-20_01
Scan-Module:
F-Secure AVP: 6.00.169, 2006-01-20
F-Secure Libra: 2.03.06, 2006-01-20
F-Secure Orion: 1.02.37, 2006-01-20
F-Secure Draco: 1.00.35, 2006-01-20
F-Secure BlackLight: 1.00.23
Scan-Optionen:
Definierte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML AVB POT WMF TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Archive scannen
Aktionen:
Viren: Nach Scannen fragen
Spyware: Nach Scannen fragen



Datentr„ger in Laufwerk C: ist XPSystemplatte
Volumeseriennummer: 787E-5672

Verzeichnis von C:\WINDOWS\system32

22.01.2006 23:32 1.187.840 winsflt.dll
22.01.2006 03:35 2.206 wpa.dbl
17.01.2006 21:01 192 EDIT.INI
11.01.2006 22:57 1.472 SmartGart.lnk
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
20.12.2005 17:08 4.212 zllictbl.dat
12.12.2005 16:28 1 vx.tll --> Troj/Vixup-U (?)
06.12.2005 22:58 120.544 FNTCACHE.DAT
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
08.11.2005 05:47 1.716.224 winsflte.dll
08.11.2005 05:46 1.236.992 cfgmig32.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
31.10.2005 04:46 380.684 perfh009.dat
31.10.2005 04:46 391.574 perfh007.dat
31.10.2005 04:46 53.098 perfc009.dat
31.10.2005 04:46 63.976 perfc007.dat
31.10.2005 04:46 897.954 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 80.896 fontsub.dll
17.10.2005 22:20 118.272 t2embed.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Datentr„ger in Laufwerk C: ist XPSystemplatte
Volumeseriennummer: 787E-5672

Verzeichnis von C:\WINDOWS

22.01.2006 23:37 0 0.log
22.01.2006 23:36 1.660.835 WindowsUpdate.log
22.01.2006 23:36 2.048 bootstat.dat
22.01.2006 23:34 32.552 SchedLgU.Txt
22.01.2006 23:33 3.523.850 FSSFM.log
22.01.2006 23:33 8.565.141 FSISU.log
22.01.2006 23:33 310.562 RunSetup.log
22.01.2006 23:33 13.600 FSASWINS.LOG
22.01.2006 23:33 162.168 FSPROD.log
22.01.2006 23:33 1.324.813 FSSETUP.log
22.01.2006 23:33 5.789 FSSCINST.log
22.01.2006 23:33 296.076 FSSSINST.log
22.01.2006 23:33 7.980 FSAVCSIN.LOG
22.01.2006 23:33 4.202 NEWSINST.LOG
22.01.2006 23:33 9.398 FSGUIINS.LOG
22.01.2006 23:33 21.615 FSASWSIN.log
22.01.2006 23:33 14.437 HELPINST.LOG
22.01.2006 23:33 5.862 FSSYSUPD.LOG
22.01.2006 23:33 17.753 fsmainst.log
22.01.2006 23:33 2.032 fsdginst.log
22.01.2006 23:33 3.562 fsavunin.log
22.01.2006 23:33 20.413 FSPCINST.LOG
22.01.2006 23:33 17.749 fwesinst.log
22.01.2006 23:33 46.566 fstnbins.LOG
22.01.2006 23:33 12.107 fsrif.log
22.01.2006 23:33 11.045 fwinst.log
22.01.2006 23:33 35.871 FSAVINST.LOG
22.01.2006 23:32 2.185 DAASINST.LOG
22.01.2006 23:31 138.418 FSDEPH.log
22.01.2006 23:31 13.312 FSSGSUP.LOG
22.01.2006 23:30 2.438 FSPRODRM.LOG
22.01.2006 23:30 478.012 fssgpex.LOG
22.01.2006 23:23 6.349 setupapi.log
22.01.2006 23:15 10.074 fsbwinst.log
22.01.2006 23:14 118.842 bwUnin-6.3.2.123-4476822L.exe
22.01.2006 23:12 4.070 Q-Klez.log
22.01.2006 13:36 3.630.688 ntbtlog.txt
19.01.2006 22:01 24.325 KB905915.log
19.01.2006 20:11 1.012 win.ini
10.01.2006 19:10 437.683 iis6.log
10.01.2006 19:10 166.826 tsoc.log
10.01.2006 19:10 127.164 comsetup.log
10.01.2006 19:10 16.950 tabletoc.log
10.01.2006 19:10 1.374 imsins.log
10.01.2006 19:10 76.659 ntdtcsetup.log
10.01.2006 19:10 19.861 ocmsn.log
10.01.2006 19:10 11.051 KB912919.log
10.01.2006 19:10 25.680 medctroc.Log
10.01.2006 19:10 181.647 ocgen.log
10.01.2006 19:10 59.299 netfxocm.log
10.01.2006 19:10 17.630 msgsocm.log
10.01.2006 19:10 344.644 FaxSetup.log
10.01.2006 19:10 118.120 msmqinst.log
10.01.2006 19:10 23.619 updspapi.log
10.01.2006 19:10 10.196 KB908519.log
28.12.2005 18:04 21 messer.ini
20.12.2005 17:04 10.897 KB910437.log
14.12.2005 19:27 478.720 WRUninstall.dll
12.12.2005 17:22 11.218 ModemLog_Smart Link 56K Modem.txt
08.12.2005 19:46 1.044.817 setupapi.log.0.old
08.12.2005 18:48 23.295 DirectX.log
08.12.2005 18:30 29.777 Omega Drivers Log.txt
08.12.2005 18:26 737.280 iun6002.exe
08.12.2005 18:18 10 WININIT.INI
08.12.2005 18:13 175.300 setupact.log
07.12.2005 19:58 548 ODBC.INI
17.11.2005 15:26 1.125 winamp.ini
15.11.2005 16:10 11.847 KB896424.log
15.10.2005 13:53 20.706 KB901017.log
15.10.2005 13:53 23.128 KB902400.log
15.10.2005 13:52 14.105 KB896688.log
15.10.2005 13:52 12.989 KB899589.log
15.10.2005 13:52 13.992 KB905414.log
15.10.2005 13:52 13.826 KB900725.log
15.10.2005 13:52 11.634 KB904706.log
15.10.2005 13:52 12.279 KB905749.log

Datentr„ger in Laufwerk C: ist XPSystemplatte
Volumeseriennummer: 787E-5672

Verzeichnis von C:\

23.01.2006 01:15 0 sys.txt
23.01.2006 01:14 10.021 system.txt
23.01.2006 01:13 137 systemtemp.txt
23.01.2006 01:13 109.302 system32.txt
23.01.2006 01:09 120.456 dirdat.txt
22.01.2006 23:35 805.306.368 pagefile.sys
22.01.2006 18:39 7.148 winzip.log
08.12.2005 18:01 669 FSC-DeskUpdate.txt

Datentr„ger in Laufwerk C: ist XPSystemplatte
Volumeseriennummer: 787E-5672

Verzeichnis von C:\DOKUME~1\FRANKR~1\LOKALE~1\Temp

Vielen Dank schon im Vorraus

#6 frank31

•LSPfix.exe falls die dll dort vorhanden ist:
http://www.spychecker.com/program/lspfix.html
hake an: "I know what Im doing"-->Remove
Loesche:winsflt.dll (bringe es von der linken auf die rechte Seite)

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

kopiere hier das log von Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi.
Hier ist die log-datei von blbeta.exe:

01/23/06 15:40:35 [Info]: BlackLight Engine 1.0.30 initialized
01/23/06 15:40:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/23/06 15:40:35 [Note]: 7019 4
01/23/06 15:40:35 [Note]: 7005 0
01/23/06 15:40:40 [Note]: 7006 0
01/23/06 15:40:40 [Note]: 7011 2912
01/23/06 15:40:40 [Note]: FSRAW library version 1.7.1014
01/23/06 15:41:34 [Note]: 7007 0

Hier ist der der WiinPfind log:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 19.03.2003 04:05:48 2052096 C:\WINDOWS\SYSTEM32\atl71.pdb
aspack 22.07.2005 19:59:04 2319568 C:\WINDOWS\SYSTEM32\d3dx9_27.dll
PEC2 18.08.2001 12:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 26.10.2004 23:38:24 716800 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 26.10.2004 23:38:24 716800 C:\WINDOWS\SYSTEM32\DivX.dll
PTech 12.07.2005 18:04:22 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
PEC2 19.03.2003 06:20:00 10357760 C:\WINDOWS\SYSTEM32\mfc71.pdb
PEC2 19.03.2003 05:28:40 8252416 C:\WINDOWS\SYSTEM32\MFC71d.pdb
PEC2 19.03.2003 06:12:12 10333184 C:\WINDOWS\SYSTEM32\mfc71u.pdb
PEC2 19.03.2003 05:31:58 8293376 C:\WINDOWS\SYSTEM32\mfc71ud.pdb
PECompact2 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 00:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 00:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 12:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 19.04.2004 11:26:08 1301488 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
23.01.2006 15:07:22 S 2048 C:\WINDOWS\bootstat.dat
23.01.2006 15:07:28 S 64 C:\WINDOWS\CSC\00000001
22.01.2006 13:09:06 S 64 C:\WINDOWS\CSC\00000002
07.12.2005 23:29:48 H 68192 C:\WINDOWS\Minidump\Mini120705-01.dmp
08.12.2005 14:00:04 H 68192 C:\WINDOWS\Minidump\Mini120805-01.dmp
22.01.2006 23:32:36 HS 10240 C:\WINDOWS\rnapxs\rnapxs.dat
20.12.2005 17:08:38 H 4212 C:\WINDOWS\system32\zllictbl.dat
01.12.2005 04:44:42 S 21633 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB905915.cat
02.12.2005 01:12:38 S 10925 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB910437.cat
03.01.2006 00:09:26 S 11223 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB912919.cat
23.01.2006 15:09:22 H 1024 C:\WINDOWS\system32\config\default.LOG
23.01.2006 15:08:00 H 1024 C:\WINDOWS\system32\config\SAM.LOG
23.01.2006 15:09:22 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
23.01.2006 15:48:10 H 1024 C:\WINDOWS\system32\config\software.LOG
23.01.2006 15:41:44 H 1024 C:\WINDOWS\system32\config\system.LOG
10.01.2006 19:10:30 H 1024 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT.LOG
23.01.2006 00:28:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7WNZDGE9\desktop.ini
23.01.2006 00:28:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AZFKUS9N\desktop.ini
23.01.2006 00:28:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K60LFF6L\desktop.ini
23.01.2006 00:28:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWA89CX6\desktop.ini
08.12.2005 20:43:12 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\050c5b6a-6268-4fe0-bf39-07b4680c4f9e
08.12.2005 20:43:12 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
23.01.2006 15:07:30 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 00:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 00:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 00:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 00:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 30.09.2004 17:17:14 135168 C:\WINDOWS\SYSTEM32\DIRECTX.CPL
Microsoft Corporation 04.08.2004 00:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 00:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 00:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 00:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 00:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 00:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 06.12.2004 21:31:48 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 12:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 00:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 12:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 00:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 00:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 12:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 00:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 00:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
19.04.2004 13:52:42 454656 C:\WINDOWS\SYSTEM32\slcpappl.cpl
Microsoft Corporation 04.08.2004 00:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 12:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 00:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 00:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 12:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 12:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 12:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 12:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
10.12.2004 10:39:46 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
23.01.2006 15:07:40 1005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\F-Secure 2006.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
10.12.2004 10:28:52 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
10.12.2004 10:39:46 HS 84 C:\Dokumente und Einstellungen\Frank Ricco\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
10.12.2004 10:28:52 HS 62 C:\Dokumente und Einstellungen\Frank Ricco\Anwendungsdaten\desktop.ini
02.01.2006 15:24:46 19896 C:\Dokumente und Einstellungen\Frank Ricco\Anwendungsdaten\GDIPFONTCACHEV1.DAT
12.12.2005 16:28:40 2235201 C:\Dokumente und Einstellungen\Frank Ricco\Anwendungsdaten\Install.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{23814B80-52A2-11d0-BC1A-004095606CB9}
F-Secure = C:\Programme\F-Secure Internet Security\Common\fpshx.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{23814B80-52A2-11d0-BC1A-004095606CB9}
F-Secure = C:\Programme\F-Secure Internet Security\Common\fpshx.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
= "C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{200DB664-75B5-47c0-8B45-A44ACCF73C00}
ButtonText = Webfilter :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{200DB664-75B5-47c0-8B45-A44ACCF73F01}
MenuText = Webfilter : C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{300DB664-75B5-47c0-8B45-A44ACCF73C00}
ButtonText = IE-Schutzschild :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} = :
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SynTPLpr C:\Programme\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh C:\Programme\Synaptics\SynTP\SynTPEnh.exe
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
Acronis Schedule "C:\Programme\Gemeinsame Dateien\Acronis\Schedule\schedule.exe"
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize
AWMON "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
cFosDNT C:\Programme\1&1 Programme\cFos\cFosDNT.exe
T-DSL SpeedMgr "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
NWEReboot
ATIPTA C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F-Secure Manager "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
F-Secure TNB "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
F-Secure Startup Wizard "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
News Service "C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
cFos - Tip of the Day C:\Programme\1&1 Programme\cFos\setup.exe -tipoftheday 0 -type5

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ICQ Lite
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ICQLite
hkey HKLM
command C:\Programme\ICQLite\ICQLite.exe -minimize
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ICQLite
hkey HKLM
command C:\Programme\ICQLite\ICQLite.exe -minimize
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\T-DSL SpeedMgr
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item SpeedMgr
hkey HKLM
command "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item SpeedMgr
hkey HKLM
command "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallpaper 0
NoComponents 0
NoAddingComponents 0
NoDeletingComponents 0
NoEditingComponents 0
NoHTMLWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier
= WRLogonNTF.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 23.01.2006 15:53:44

Grüße frank31

#8 frank31

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\bwUnin-6.3.2.123-4476822L.exe


-----------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken.

loeschen:
C:\Dokumente und Einstellungen\Frank Ricco\Anwendungsdaten\Install.dat
C:\WINDOWS\iun6002.exe

http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum


Auf welcher Seite soll ich denn oben auf durchsuchen klicken ?
Ich hab die Datei C:\WINDOWS\system32\vx.tll gefunden,weiß aber nicht, mit was ich sie überprüfen soll und wo ich dann submit drücken soll.
Ich stell mich evtl ein wenig dumm an. Sorry!!

#10 sorry... Link vergessen soooooooooooorry !!!!!!!!!!

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\vx.tll
C:\WINDOWS\bwUnin-6.3.2.123-4476822L.exe


__________
MfG Sabina

rund um die PC-Sicherheit

#11 This is a report processed by VirusTotal on 01/25/2006 at 20:04:13 (CET) after scanning the file "vx.tll" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.25.2006 no virus found
Avast 4.6.695.0 01.25.2006 no virus found
AVG 718 01.25.2006 no virus found
Avira 6.33.0.77 01.25.2006 no virus found
BitDefender 7.2 01.25.2006 no virus found
CAT-QuickHeal 8.00 01.25.2006 no virus found
ClamAV devel-20051123 01.25.2006 no virus found
DrWeb 4.33 01.25.2006 no virus found
eTrust-InoculateIT 23.71.59 01.25.2006 no virus found
eTrust-Vet 12.4.2056 01.25.2006 no virus found
Ewido 3.5 01.25.2006 no virus found
Fortinet 2.54.0.0 01.25.2006 no virus found
F-Prot 3.16c 01.25.2006 no virus found
Ikarus 0.2.59.0 01.25.2006 no virus found
Kaspersky 4.0.2.24 01.25.2006 no virus found
McAfee 4682 01.25.2006 no virus found
NOD32v2 1.1379 01.25.2006 no virus found
Norman 5.70.10 01.25.2006 no virus found
Panda 9.0.0.4 01.25.2006 no virus found
Sophos 4.01.0 01.25.2006 no virus found
Symantec 8.0 01.25.2006 no virus found
TheHacker 5.9.3.080 01.25.2006 no virus found
UNA 1.83 01.25.2006 no virus found
VBA32 3.10.5 01.25.2006 no virus found



This is a report processed by VirusTotal on 01/25/2006 at 20:04:20 (CET) after scanning the file "bwUnin-6.3.2.123-4476822L.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.25.2006 no virus found
Avast 4.6.695.0 01.25.2006 no virus found
AVG 718 01.25.2006 no virus found
Avira 6.33.0.77 01.25.2006 no virus found
BitDefender 7.2 01.25.2006 no virus found
CAT-QuickHeal 8.00 01.25.2006 no virus found
ClamAV devel-20051123 01.25.2006 no virus found
DrWeb 4.33 01.25.2006 no virus found
eTrust-InoculateIT 23.71.59 01.25.2006 no virus found
eTrust-Vet 12.4.2056 01.25.2006 no virus found
Ewido 3.5 01.25.2006 no virus found
Fortinet 2.54.0.0 01.25.2006 no virus found
F-Prot 3.16c 01.25.2006 no virus found
Ikarus 0.2.59.0 01.25.2006 no virus found
Kaspersky 4.0.2.24 01.25.2006 no virus found
McAfee 4682 01.25.2006 no virus found
NOD32v2 1.1379 01.25.2006 no virus found
Norman 5.70.10 01.25.2006 no virus found
Panda 9.0.0.4 01.25.2006 no virus found
Sophos 4.01.0 01.25.2006 no virus found
Symantec 8.0 01.25.2006 no virus found
TheHacker 5.9.3.080 01.25.2006 no virus found
UNA 1.83 01.25.2006 no virus found
VBA32 3.10.5 01.25.2006 no virus found

#12 http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo.
Ich habe die beiden Dateien gelöscht, bin in den abgesicherten Modus, hab auf fixme auf dem Desktop geklickt.
Dann kam die Frage, ob ich die Datei in die Reg eintragen wolle.
Ich hab auf 'Ja' gedrückt.
Bin dann auf http://virus-protect.org/multiavtool.html gegangen, hab das Programm heruntergeladen und mit Start-shortcut geöffnet.
Dann ist ein DOS-Fenster aufgegangen,wo aber eine Errorzeile stand.
Ich konnte nichts eingeben.
Bin dann auf Hilfe gegangen und den Anweisungen gefolgt.
Kann aber immer noch nichts eingeben.
Was mach ich falsch ?
Grüße frank31

#14 keine Ahnung, warum eine Fehlermeldung kommt....das erscheint nicht???





------------------------------------------------------------------------
scanne mit Kaspersky und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hat ein wenig gedauert,bis es geklappt hat, weil er erst ein update vom server gezoge hat.
Hier sind die reports:

01/25/2006 23:11:04


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [XPSystemplatte]
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 7342
Clean: ................. 7331
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:08
.11





01/25/2006 23:22:00


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [XPSystemplatte]
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 36839
Clean: ................. 36828
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:23.12



Visit the McAfee Online Web Site





01/25/2006 23:46:54


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [XPSystemplatte]
Scanning C:\*.*
C:\Dokumente und Einstellungen\Frank Ricco\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt ... Found the AdClicker-AJ trojan !!!
The file or process has been deleted.
C:\Programme\ICQToolbar\toolbaru.inf ... Found potentially unwanted program Adware-Softomate.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 251522
Clean: ................. 251499
Possibly Infected: ..... 1
Cleaned: ............... 0
Deleted: ............... 2
Non-critical Error(s): 2


Time: 01:29.55

_____________
Grüße Frank31