Bräuchte Unterstützung beim Entfernen von SpySheriffThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
27.01.2006, 18:30
Member
Beiträge: 19 |
||
|
||
29.01.2006, 01:10
Ehrenmitglied
Beiträge: 29434 |
#2
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: D:\WINNT\system32\CAVFAT.DLL D:\WINNT\system32\p04ulah91d4.dll D:\WINNT\system32\m4rmle911h.dll D:\WINNT\system32\fuamebuf.dll D:\WINNT\system32\mwr.dll D:\WINNT\system32\dlkquoui.dll D:\WINNT\system32\e2jm0c11ef.dll D:\WINNT\system32\wmedia32.exe D:\WINNT\system32\atmtd.dll._ D:\WINNT\system32\atmtd.dll D:\WINNT\system32\msupdate32.dll D:\WINNT\system32\paytime.exe D:\WINNT\system32\400.exe D:\WINNT\system32\explore.exe D:\WINNT\system32\networknbh.exe D:\explore.exe D:\400.exe D:\WINNT\iconu.exe D:\WINNT\icont.exe D:\WINNT\tool1.exe D:\WINNT\secure32.html D:\WINNT\kl.exe D:\WINNT\hosts D:\WINNT\tool5.exe D:\WINNT\tool4.exe D:\WINNT\tool3.exe D:\WINNT\desktop.html D:\WINNT\uniq D:\WINNT\uninstall_nmon.vbs PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. scanne mit ewido und kopiere den scanreport http://virus-protect.org/ewido.html danach: kopiere das log von Winpfind http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.01.2006, 02:43
Member
Themenstarter Beiträge: 19 |
#3
Killbox
Datei D:\WINNT\system32\m4rmle911h.dll war nicht mehr da. Dafür folgende neuen dll-Dateien: Verzeichnis von D:\WINNT\system32 29.01.2006 01:51 235.883 iXssdo.dll 29.01.2006 01:51 0 atmtd.dll.tmp 29.01.2006 01:48 235.772 fp2o03f3e.dll 29.01.2006 01:09 235.883 dnjm0111e.dll 26.01.2006 17:00 99.848 FNTCACHE.DAT Hier die Logs: --------------------------------------------------------- ewido anti-malware - Scan Report--------------------------------------------------------- + Erstellt am: 02:18:34, 29.01.2006 + Report-Checksumme: 5241E0C + Scanergebnis: HKLM\SOFTWARE\Classes\.s3d -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{44BE0690-5429-47F0-85BB-3FFD8020233E} -> Spyware.UCmore : Gesäubert mit Backup HKLM\SOFTWARE\Classes\s3d_auto_file -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Classes\s3d_auto_file\DefaultIcon -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Classes\s3d_auto_file\shell -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Classes\s3d_auto_file\shell\open -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Classes\s3d_auto_file\shell\open\command -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Effective-i -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup HKLM\SOFTWARE\Effective-i\TheSearchAccelerator -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup HKLM\SOFTWARE\Effective-i\TheSearchAccelerator\IE5 -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{44BE0690-5429-47f0-85BB-3FFD8020233E} -> Spyware.UCmore : Gesäubert mit Backup HKU\.DEFAULT\Software\Effective-i -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator\IE5 -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup HKU\.DEFAULT\Software\Maxthon\Plugin\toolbar\{44BE0690-5429-47f0-85BB-3FFD8020233E} -> Spyware.UCmore : Gesäubert mit Backup [116] C:\winnt\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 : Gesäubert mit Backup [980] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Gesäubert mit Backup [716] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern [416] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern [1164] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern [1176] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern [1212] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern [1216] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern [1308] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern [1412] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern C:\winnt\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj : Gesäubert mit Backup C:\winnt\system32\dllcache\runbatch.exe -> Backdoor.ServU-based : Gesäubert mit Backup C:\winnt\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 : Gesäubert mit Backup C:\windows\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj : Gesäubert mit Backup C:\windows\system32\dllcache\runbatch.exe -> Backdoor.ServU-based : Gesäubert mit Backup C:\windows\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 : Gesäubert mit Backup C:\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : Gesäubert mit Backup C:\stub_113_4_0_4_0.exe -> Downloader.TSUpdate.o : Gesäubert mit Backup C:\Installer.exe -> Spyware.Look2Me : Gesäubert mit Backup C:\ucmoreiex.exe/UCMTSAIE.DLL -> Spyware.UCmore : Gesäubert mit Backup C:\ucmoreiex.exe/IUCMORE.DLL -> Spyware.UCmore : Gesäubert mit Backup C:\Program Files\Sophos\Infected\networknbh.000 -> Backdoor.Rbot.adf : Gesäubert mit Backup C:\Program Files\Sophos\Infected\ms1.000 -> Downloader.Tiny.al : Gesäubert mit Backup C:\Program Files\Sophos\Infected\ms1[1].000 -> Downloader.Tiny.al : Gesäubert mit Backup C:\Program Files\Sophos\Infected\mspostsp.000 -> Trojan.Inject.i : Gesäubert mit Backup C:\Program Files\Sophos\Infected\mspostsp.001 -> Trojan.Inject.i : Gesäubert mit Backup C:\Program Files\Sophos\Infected\NETWOR~1.001 -> Backdoor.Rbot.adf : Gesäubert mit Backup C:\Program Files\Sophos\Infected\ms1.001 -> Downloader.Tiny.al : Gesäubert mit Backup D:\!KillBox\CAVFAT.DLL -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\dlkquoui.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\e2jm0c11ef.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\fuamebuf.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\icont.exe -> Spyware.AdURL : Gesäubert mit Backup D:\!KillBox\iconu.exe -> Spyware.Zestyfind : Gesäubert mit Backup D:\!KillBox\msupdate32.dll -> Proxy.Agent.ij : Gesäubert mit Backup D:\!KillBox\mwr.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\networknbh.exe -> Backdoor.Rbot.adf : Gesäubert mit Backup D:\!KillBox\tool4.exe -> Trojan.Small : Gesäubert mit Backup D:\!KillBox\tool5.exe -> Trojan.Small : Gesäubert mit Backup D:\Dokumente und Einstellungen\administrator\Cookies\administrator@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup D:\Dokumente und Einstellungen\administrator\Cookies\administrator@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup D:\Dokumente und Einstellungen\administrator\Cookies\administrator@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\AppWrap[1].exe -> Spyware.AdURL : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\tool5[1].txt -> Trojan.Small : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\AppWrap[1].exe -> Spyware.AdURL : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\AppWrap[2].exe -> Spyware.Zestyfind : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\Installer[1].exe -> Spyware.Look2Me : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\stub_113_4_0_4_0[1].exe -> Downloader.TSUpdate.o : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\tool4[1].txt -> Trojan.Small : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\ucmoreiex[1].exe/UCMTSAIE.DLL -> Spyware.UCmore : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\ucmoreiex[1].exe/IUCMORE.DLL -> Spyware.UCmore : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\CAVFAT.DLL -> Spyware.Look2Me : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\dlkquoui.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\e2jm0c11ef.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\fuamebuf.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\msupdate32.dll -> Proxy.Agent.ij : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\mwr.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\Programme\Gemeinsame Dateien\okui\okuia.exe -> Downloader.TSUpdate.l : Gesäubert mit Backup D:\Programme\Gemeinsame Dateien\okui\okuid\okuic.dll -> Downloader.Small : Gesäubert mit Backup D:\Programme\Gemeinsame Dateien\okui\okuil.exe -> Downloader.TSUpdate.p : Gesäubert mit Backup D:\Programme\Gemeinsame Dateien\okui\okuim.exe -> Downloader.TSUpdate.n : Gesäubert mit Backup D:\Programme\Gemeinsame Dateien\okui\okuip.exe -> Downloader.TSUpdate.f : Gesäubert mit Backup D:\Programme\TheSearchAccelerator\IUCmore.dll -> Spyware.UCmore : Gesäubert mit Backup D:\Programme\TheSearchAccelerator\UCMTSAIE.dll -> Spyware.UCmore : Gesäubert mit Backup D:\WINNT\system32\aysnw.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\WINNT\system32\dn4m01h1e.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\WINNT\system32\iNsrad.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Gesäubert mit Backup D:\WINNT\TVc\command.exe -> Adware.CommAd : Gesäubert mit Backup ::Report Ende WINPFIND-LOG »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195 Internet Explorer Version: 5.00.3700.1000 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 09.08.2005 23:14:00 692736 D:\WINNT\SYSTEM32\DivX.dll PECompact2 09.08.2005 23:14:00 692736 D:\WINNT\SYSTEM32\DivX.dll Umonitor 19.06.2003 12:05:04 549648 D:\WINNT\SYSTEM32\RASDLG.DLL winsync 10.12.1999 13:00:00 1309184 D:\WINNT\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... Items found in D:\WINNT\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 16.01.2006 13:52:36 H 271 D:\WINNT\desktop.ini 16.01.2006 13:52:36 H 21817 D:\WINNT\folder.htt 27.01.2006 19:20:38 H 1284042 D:\WINNT\ShellIconCache 29.01.2006 01:51:40 S 64 D:\WINNT\CSC\00000001 29.01.2006 01:09:04 S 64 D:\WINNT\CSC\00000002 28.01.2006 03:21:46 S 64 D:\WINNT\CSC\csc1.tmp 16.01.2006 13:52:36 H 65 D:\WINNT\Downloaded Program Files\desktop.ini 16.01.2006 13:52:58 HS 67 D:\WINNT\Fonts\desktop.ini 16.01.2006 13:52:36 H 65 D:\WINNT\Offline Web Pages\desktop.ini 16.01.2006 13:54:12 H 122880 D:\WINNT\repair\ntuser.dat 16.01.2006 13:52:36 H 271 D:\WINNT\system32\desktop.ini 29.01.2006 01:10:00 R S 235883 D:\WINNT\system32\dnjm0111e.dll 16.01.2006 13:52:36 H 21817 D:\WINNT\system32\folder.htt 29.01.2006 01:49:00 R S 235772 D:\WINNT\system32\fp2o03f3e.dll 29.01.2006 01:51:50 R S 235883 D:\WINNT\system32\iXssdo.dll 29.01.2006 02:18:04 H 1024 D:\WINNT\system32\config\default.LOG 29.01.2006 01:51:44 H 1024 D:\WINNT\system32\config\SAM.LOG 29.01.2006 02:01:46 H 1024 D:\WINNT\system32\config\SECURITY.LOG 29.01.2006 02:23:46 H 1024 D:\WINNT\system32\config\software.LOG 16.01.2006 14:33:16 H 1024 D:\WINNT\system32\config\system.LOG 16.01.2006 14:33:12 H 0 D:\WINNT\system32\config\TempKey.LOG 16.01.2006 14:33:18 H 1024 D:\WINNT\system32\config\userdiff.LOG 16.01.2006 14:38:50 HS 336 D:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\eee4af2a-ff7b-43c5-bd53-3fa973b2af18 16.01.2006 14:38:50 HS 24 D:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\Preferred 29.01.2006 01:51:36 H 6 D:\WINNT\Tasks\SA.DAT 16.01.2006 13:52:38 H 842 D:\WINNT\Web\bullet.gif 16.01.2006 13:52:36 H 90056 D:\WINNT\Web\classic.bmp 16.01.2006 13:52:36 H 634 D:\WINNT\Web\classic.htt 16.01.2006 13:52:36 H 4732 D:\WINNT\Web\controlp.htt 16.01.2006 13:52:36 H 5943 D:\WINNT\Web\default.htt 16.01.2006 13:52:36 H 830 D:\WINNT\Web\deskmovr.htt 16.01.2006 13:52:36 H 9163 D:\WINNT\Web\dialup.htt 16.01.2006 13:52:38 H 2642 D:\WINNT\Web\exclam.gif 16.01.2006 13:52:36 H 31080 D:\WINNT\Web\folder.bmp 16.01.2006 13:52:36 H 3210 D:\WINNT\Web\folder.htt 16.01.2006 13:52:36 H 19396 D:\WINNT\Web\fsresult.htt 16.01.2006 13:52:36 H 17081 D:\WINNT\Web\imgview.htt 16.01.2006 13:52:38 H 56 D:\WINNT\Web\mincold.gif 16.01.2006 13:52:38 H 77 D:\WINNT\Web\minhot.gif 16.01.2006 13:52:36 H 13439 D:\WINNT\Web\nethood.htt 16.01.2006 13:52:38 H 59 D:\WINNT\Web\pluscold.gif 16.01.2006 13:52:38 H 80 D:\WINNT\Web\plushot.gif 16.01.2006 13:52:36 H 31080 D:\WINNT\Web\preview.bmp 16.01.2006 13:52:36 H 13977 D:\WINNT\Web\printers.htt 16.01.2006 13:52:36 H 11342 D:\WINNT\Web\recycle.htt 16.01.2006 13:52:36 H 3050 D:\WINNT\Web\safemode.htt 16.01.2006 13:52:36 H 6578 D:\WINNT\Web\schedule.htt 16.01.2006 13:52:36 H 28747 D:\WINNT\Web\standard.htt 16.01.2006 13:52:36 H 31080 D:\WINNT\Web\starter.bmp 16.01.2006 13:52:36 H 1031 D:\WINNT\Web\starter.htt 16.01.2006 13:52:36 H 1316 D:\WINNT\Web\webview.css 16.01.2006 13:52:36 H 31564 D:\WINNT\Web\webview.js 16.01.2006 13:52:36 H 8248 D:\WINNT\Web\wvleft.bmp 16.01.2006 13:52:36 H 54 D:\WINNT\Web\wvline.gif 16.01.2006 13:52:36 H 14865 D:\WINNT\Web\wvlogo.gif 16.01.2006 13:52:38 H 12403 D:\WINNT\Web\wvnet.gif Checking for CPL files... Microsoft Corporation 10.12.1999 13:00:00 68880 D:\WINNT\SYSTEM32\access.cpl Microsoft Corporation 19.06.2003 12:05:04 304912 D:\WINNT\SYSTEM32\appwiz.cpl Microsoft Corporation 19.06.2003 12:05:04 242448 D:\WINNT\SYSTEM32\DESK.CPL Microsoft Corporation 10.12.1999 13:00:00 130832 D:\WINNT\SYSTEM32\hdwwiz.cpl Microsoft Corporation 19.06.2003 12:05:04 257808 D:\WINNT\SYSTEM32\inetcpl.cpl Microsoft Corporation 10.12.1999 13:00:00 121616 D:\WINNT\SYSTEM32\intl.cpl Microsoft Corporation 10.12.1999 13:00:00 36624 D:\WINNT\SYSTEM32\irprops.cpl Microsoft Corporation 10.12.1999 13:00:00 61712 D:\WINNT\SYSTEM32\joy.cpl Sun Microsystems 20.02.2003 16:42:34 229487 D:\WINNT\SYSTEM32\jpicpl32.cpl Microsoft Corporation 10.12.1999 13:00:00 122640 D:\WINNT\SYSTEM32\main.cpl Microsoft Corporation 10.12.1999 13:00:00 307472 D:\WINNT\SYSTEM32\mmsys.cpl Microsoft Corporation 10.12.1999 13:00:00 17168 D:\WINNT\SYSTEM32\ncpa.cpl Microsoft Corporation 10.12.1999 13:00:00 42256 D:\WINNT\SYSTEM32\nwc.cpl Microsoft Corporation 19.06.2003 12:05:04 41232 D:\WINNT\SYSTEM32\odbccp32.cpl Microsoft Corporation 19.06.2003 12:05:04 92432 D:\WINNT\SYSTEM32\powercfg.cpl 13.06.2000 13:30:10 49664 D:\WINNT\SYSTEM32\spss_lmd.cpl Microsoft Corporation 19.06.2003 12:05:04 83728 D:\WINNT\SYSTEM32\sticpl.cpl Microsoft Corporation 19.06.2003 12:05:04 129296 D:\WINNT\SYSTEM32\SYSDM.CPL Microsoft Corporation 10.12.1999 13:00:00 5904 D:\WINNT\SYSTEM32\telephon.cpl Microsoft Corporation 10.12.1999 13:00:00 61200 D:\WINNT\SYSTEM32\timedate.cpl Microsoft Corporation 19.06.2003 12:05:04 54784 D:\WINNT\SYSTEM32\wuaucpl.cpl IBM Corporation 07.10.1999 01:12:54 94720 D:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl Microsoft Corporation 10.12.1999 13:00:00 42256 D:\WINNT\SYSTEM32\dllcache\nwc.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 20.01.2006 09:59:26 1559 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk 26.01.2006 12:38:16 453 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterCheck Monitor.lnk 26.01.2006 12:03:24 1560 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk 16.01.2006 19:23:44 432 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Remote Update Monitor.lnk Checking files in %ALLUSERSPROFILE%\Application Data folder... Checking files in %USERPROFILE%\Startup folder... Checking files in %USERPROFILE%\Application Data folder... »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] {6B728068-E166-48D9-B3F9-A6909107BD4E} = D:\WINNT\system32\DPCPSAPI.DLL {16561998-762D-4E0A-9817-0B08334FC16A} = D:\WINNT\system32\iXssdo.dll {E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F} = D:\WINNT\system32\guard.tmp {87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9} = D:\WINNT\system32\guard.tmp {2B3B511A-7480-4BB7-8A65-241551BDF845} = D:\WINNT\system32\guard.tmp {B6FED087-FC0F-4F7B-9336-6E1685AF93E8} = D:\WINNT\system32\guard.tmp [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido anti-malware\context.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido anti-malware\context.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = D:\WINNT\System32\docprop2.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984} = %SystemRoot%\system32\faxshell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1} = D:\WINNT\System32\docprop2.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627} = D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : D:\WINNT\System32\msdxm.ocx [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} ButtonText = Spyware Doctor : [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File and Folders Search ActiveX Control = D:\WINNT\system32\shell32.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\System32\browseui.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Synchronization Manager mobsync.exe /logon TkBellExe "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize Microsoft Network Neighbourhood networknbh.exe PayTime D:\WINNT\system32\paytime.exe winsysupd c:\windows\winsysupd3.exe winsysban C:\windows\winsysban3.exe myupdates c:\windows\myupdates.exe ntdll.dll D:\WINNT\system32\paytime.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] Microsoft Network Neighbourhood networknbh.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] internat.exe internat.exe Shell "D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" SpySheriff C:\Program Files\SpySheriff\SpySheriff.exe Spyware Doctor "D:\Programme\Spyware Doctor\swdoctor.exe" /Q [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun • CDRAutoRun 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = D:\WINNT\system32\NETSHELL.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = D:\WINNT\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msupdate = msupdate32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellScrap = D:\WINNT\system32\dnjm0111e.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32 = sndu32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif = wzcdlg.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs NVDESK32.DLL »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 29.01.2006 02:25:28 Freundlicher Gruß und eine gute Nacht Matthias Dieser Beitrag wurde am 29.01.2006 um 02:46 Uhr von Double Helix editiert.
|
|
|
||
29.01.2006, 15:47
Ehrenmitglied
Beiträge: 29434 |
#4
loesche mit der Killbox:
D:\WINNT\system32\dnjm0111e.dll D:\WINNT\system32\atmtd.dll.tmp D:\WINNT\system32\fp2o03f3e.dll D:\WINNT\system32\DPCPSAPI.DLL D:\WINNT\system32\iXssdo.dll C:\Program Files\SpySheriff\SpySheriff.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll D:\WINNT\system32\paytime.exe c:\windows\winsysupd3.exe C:\windows\winsysban3.exe c:\windows\myupdates.exe D:\WINNT\system32\networknbh.exe D:\WINNT\system32\paytime.exe D:\WINNT\system32\guard.tmp PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. loesche manuell: C:\Program Files\SpySheriff D:\WINNT\TVc Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\L2mfix--> kopiere das log von Option 1 http://virus-protect.org/l2mfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2006, 17:01
Member
Themenstarter Beiträge: 19 |
#5
Verzeichnis von D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders
30.01.2006 16:42 <DIR> . 30.01.2006 16:42 <DIR> .. 26.01.2006 12:03 <DIR> 1031 26.01.2006 12:02 <DIR> 1033 26.01.2006 19:59 52.224 ibm00004.dll 14.02.2001 21:45 1.318.912 MSONSEXT.DLL 13.02.2001 00:23 58.784 MSOSV.DLL 18.03.1999 18:46 127.032 MSOWS407.DLL 03.06.1999 11:09 122.937 MSOWS409.DLL 06.08.2000 09:04 401.462 MSVCP60.DLL 22.01.2001 03:25 69.632 PKMAXCTL.DLL 22.01.2001 03:25 872.448 PKMCDO.DLL 22.01.2001 03:25 159.744 PKMCORE.DLL 07.02.2001 09:59 106.496 PKMFORMS.DLL 12.02.2001 04:01 692.224 PKMRES.DLL 22.01.2001 03:25 28.672 PKMSSTLB.DLL 22.01.2001 03:25 40.960 PKMTEMPL.DLL 22.01.2001 03:25 24.576 PKMTRACE.DLL 22.01.2001 03:25 86.016 PKMWS.DLL 22.01.2001 03:25 237.568 PROMDEMO.DLL 29.04.1999 21:00 593.977 RAGENT.DLL 22.01.2001 03:25 184.320 SECMGR.DLL 22.01.2001 03:25 323.584 VAIDDMGR.DLL 22.01.2001 03:25 32.768 VAIMEM.DLL 20 Datei(en) 5.534.336 Bytes 4 Verzeichnis(se), 3.402.067.968 Bytes frei Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\Programme\Gemeinsame Dateien 27.01.2006 10:12 <DIR> . 27.01.2006 10:12 <DIR> .. 23.01.2006 11:44 <DIR> Adaptec Shared 16.01.2006 14:45 <DIR> Adobe 26.01.2006 12:02 <DIR> Designer 16.01.2006 13:52 <DIR> Dienste 17.01.2005 13:05 <DIR> InstallShield 26.01.2006 12:03 <DIR> Microsoft Shared 16.01.2006 13:35 <DIR> ODBC 26.01.2006 19:55 <DIR> okui 16.01.2006 19:32 <DIR> Real 26.01.2006 12:01 <DIR> System 27.01.2006 10:12 <DIR> Wise Installation Wizard 16.01.2006 19:32 <DIR> xing shared 0 Datei(en) 0 Bytes 14 Verzeichnis(se), 3.402.002.432 Bytes frei L2MFIX find log 010406 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\App Management] "Asynchronous"=dword:00000000 "DllName"="D:\\WINNT\\system32\\mvnol9531.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msupdate] "DllName"="msupdate32.dll" "Startup"="WinlogonStartupEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32] "secureUID"="[10143350086985862174]" "DllName"=hex(2):73,00,6e,00,64,00,75,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 00,00 "Startup"="MMXChckIDT" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 "MaxWait"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif] "DLLName"="wzcdlg.dll" "Logon"="WZCEventLogon" "Logoff"="WZCEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000000 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{A91F194D-E034-CDEB-C4F0-17907F38F764}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL-Erweiterung" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell-Erweiterungen fr Microsoft Windows-Netzwerkobjekte" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell-Erweiterungen fr die Dateikomprimierung" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerk- und DFš-Verbindungen" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks" "{1A9BA3A0-143A-11CF-8350-444553540000}"="Shell Favorite Folder" "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="Arbeitsplatz" "{86747AC0-42A0-1069-A2E6-08002B30309D}"="Aktenkoffer" "{0AFACED1-E828-11D1-9187-B532F1E9575D}"="Ordnerverknpfung" "{12518493-00B2-11d2-9FA5-9E3420524153}"="Bereitgestellter Datentr„ger" "{21B22460-3AEA-1069-A2DC-08002B30309D}"="File Property Page Extension" "{B091E540-83E3-11CF-A713-0020AFD79762}"="File Types Page" "{FBF23B41-E3F0-101B-8488-00AA003E56F8}"="MIME File Types Hook" "{C2FBB630-2971-11d1-A18C-00C04FD75D13}"="Microsoft CopyTo Service" "{C2FBB631-2971-11d1-A18C-00C04FD75D13}"="Microsoft MoveTo Service" "{13709620-C279-11CE-A49E-444553540000}"="Shell Automationsdienst" "{62112AA1-EBE4-11cf-A5FB-0020AFE7292D}"="Shell Automation Folder View" "{4622AD11-FF23-11d0-8D34-00A0C90F2719}"="Startmen" "{7BA4C740-9E81-11CF-99D3-00AA004AE837}"="Microsoft SendTo Service" "{D969A300-E7FF-11d0-A93B-00A0C90F2719}"="Microsoft New Object Service" "{09799AFB-AD67-11d1-ABCD-00C04FC30936}"="Open With Context Menu Handler" "{3FC0B520-68A9-11D0-8D77-00C04FD70822}"="Display Control Panel HTML Extensions" "{75048700-EF1F-11D0-9888-006097DEACF9}"="ActiveDesktop" "{6D5313C0-8C62-11D1-B2CD-006097DF8C11}"="Folder Options Property Page Extension" "{57651662-CE3E-11D0-8D77-00C04FC99D61}"="CmdFileIcon" "{4657278A-411B-11d2-839A-00C04FD918D0}"="Shell Drag & Drop-Hilfe" "{A470F8CF-A1E8-4f65-8335-227475AA5C46}"="Verschlsselungselemente zu den Kontextmens im Explorer hinzufgen" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{568804CA-CBD7-11d0-9816-00C04FD91972}"="Menu Shell Folder" "{5b4dae26-b807-11d0-9815-00c04fd91972}"="Menu Band" "{8278F931-2A3E-11d2-838F-00C04FD918D0}"="Tracking Shell Menu" "{E13EF4E4-D2F2-11d0-9816-00C04FD91972}"="Menu Site" "{ECD4FC4F-521C-11D0-B792-00A0C90312E1}"="Menu Desk Bar" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Merge Shell Folder" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{D82BE2B0-5764-11D0-A96E-00C04FD705A2}"="IShellFolderBand" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Microsoft SearchBand" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{0E5CBF21-D15F-11d0-8301-00AA005B4383}"="&Links" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7487cd30-f71a-11d0-9ea7-00805f714772}"="Thumbnail Image" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Zwischenspeicher-Ordner" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}"="Miniaturansicht" "{EAB841A0-9550-11CF-8C16-00805F1408F3}"="HTML Thumbnail Extractor" "{1AEB1360-5AFC-11D0-B806-00C04FD706EC}"="Office Graphics Filters Thumbnail Extractor" "{9DBD2C50-62AD-11D0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)" "{500202A0-731E-11D0-B829-00C04FD706EC}"="LNK file thumbnail interface delegator" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8C-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{fe1290f0-cfbd-11cf-a330-00aa00c16e65}"="Directory Namespace" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{450D8FBA-AD25-11D0-98A8-0800361B1103}"="MyDocs Folder" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{6B728068-E166-48D9-B3F9-A6909107BD4E}"="" "{16561998-762D-4E0A-9817-0B08334FC16A}"="" "{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}"="" "{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}"="" "{2B3B511A-7480-4BB7-8A65-241551BDF845}"="" "{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}"="" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}] @="" "IDEx"="ADDR" [HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}\InprocServer32] @="D:\\WINNT\\system32\\DPCPSAPI.DLL" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}] @="" [HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}\InprocServer32] @="D:\\WINNT\\system32\\nx4.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}] @="" [HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}\InprocServer32] @="D:\\WINNT\\system32\\guard.tmp" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}] @="" [HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}\InprocServer32] @="D:\\WINNT\\system32\\guard.tmp" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}] @="" [HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}\InprocServer32] @="D:\\WINNT\\system32\\guard.tmp" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}] @="" [HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}\InprocServer32] @="D:\\WINNT\\system32\\guard.tmp" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: D:\WINNT\SYSTEM32\ anicap32.dll Mon 30 Jan 2006 11:12:16 ..S.R 234.012 228,53 K c400le~1.dll Mon 30 Jan 2006 16:43:28 ..S.R 236.375 230,83 K cdral.dll Mon 23 Jan 2006 11:44:16 A.... 45.056 44,00 K cdrtc.dll Mon 23 Jan 2006 11:44:16 A.... 49.152 48,00 K irnol5~1.dll Mon 30 Jan 2006 16:55:00 ..S.R 236.726 231,18 K mtfaxmon.dll Mon 30 Jan 2006 16:43:28 ..S.R 235.371 229,85 K mvnol9~1.dll Mon 30 Jan 2006 11:12:16 ..S.R 235.371 229,85 K nx4.dll Mon 30 Jan 2006 16:55:00 ..S.R 235.371 229,85 K pdf995~1.dll Mon 23 Jan 2006 14:49:12 A.... 51.716 50,50 K pdfmona.dll Mon 23 Jan 2006 14:49:12 A.... 118.784 116,00 K pncrt.dll Mon 16 Jan 2006 19:32:02 A.... 278.528 272,00 K pndx5016.dll Mon 16 Jan 2006 19:32:04 A.... 6.656 6,50 K pndx5032.dll Mon 16 Jan 2006 19:32:04 A.... 5.632 5,50 K rmoc3260.dll Mon 16 Jan 2006 19:32:22 A.... 176.167 172,04 K 14 items found: 14 files (6 H/S), 0 directories. Total of file sizes: 2.144.917 bytes 2,04 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\WINNT\System32 30.01.2006 16:54 235.371 nx4.dll 30.01.2006 16:54 236.726 irnol5531.dll 30.01.2006 16:43 235.371 mtfaxmon.dll 30.01.2006 16:43 236.375 c400ledm1h0a.dll 30.01.2006 11:12 234.012 anicap32.dll 30.01.2006 11:12 235.371 mvnol9531.dll 23.01.2006 11:43 <DIR> dllcache 6 Datei(en) 1.413.226 Bytes 1 Verzeichnis(se), 3.401.527.296 Bytes frei |
|
|
||
30.01.2006, 20:03
Ehrenmitglied
Beiträge: 29434 |
#6
dann loesche noch (manuell oder mit der killbox)
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll D:\WINNT\System32\nx4.dll D:\WINNT\System32\irnol5531.dll D:\WINNT\System32\mtfaxmon.dll D:\WINNT\System32\c400ledm1h0a.dll D:\WINNT\System32\anicap32.dll D:\WINNT\System32\mvnol9531.dll D:\WINNT\system32\guard.tmp PC neustarten loeschen: D:\Programme\Gemeinsame Dateien\okui NUN ARBEITE 0PTION 2 AB... und poste nach neustart und scan den scanreport http://virus-protect.org/l2mfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.01.2006, 10:22
Member
Themenstarter Beiträge: 19 |
#7
Hier die log aus l2mfix option 2:
L2mfix 010406 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: zip warning: name not matched: dlls\*.* zip error: Nothing to do! (backup.zip) adding: backregs/16561998-762D-4E0A-9817-0B08334FC16A.reg (164 bytes security) (deflated 70%) adding: backregs/2B3B511A-7480-4BB7-8A65-241551BDF845.reg (164 bytes security) (deflated 70%) adding: backregs/6B728068-E166-48D9-B3F9-A6909107BD4E.reg (164 bytes security) (deflated 69%) adding: backregs/87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9.reg (164 bytes security) (deflated 70%) adding: backregs/B6FED087-FC0F-4F7B-9336-6E1685AF93E8.reg (164 bytes security) (deflated 70%) adding: backregs/E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F.reg (164 bytes security) (deflated 70%) adding: backregs/notibac.reg (152 bytes security) (deflated 72%) adding: backregs/shell.reg (152 bytes security) (deflated 74%) Scanreport (l2mfix Option 1) L2MFIX find log 010406 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP] "Asynchronous"=dword:00000000 "DllName"="D:\\WINNT\\system32\\ir66l5js1.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif] "DLLName"="wzcdlg.dll" "Logon"="WZCEventLogon" "Logoff"="WZCEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000000 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{A91F194D-E034-CDEB-C4F0-17907F38F764}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL-Erweiterung" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell-Erweiterungen fr Microsoft Windows-Netzwerkobjekte" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell-Erweiterungen fr die Dateikomprimierung" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerk- und DFš-Verbindungen" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks" "{1A9BA3A0-143A-11CF-8350-444553540000}"="Shell Favorite Folder" "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="Arbeitsplatz" "{86747AC0-42A0-1069-A2E6-08002B30309D}"="Aktenkoffer" "{0AFACED1-E828-11D1-9187-B532F1E9575D}"="Ordnerverknpfung" "{12518493-00B2-11d2-9FA5-9E3420524153}"="Bereitgestellter Datentr„ger" "{21B22460-3AEA-1069-A2DC-08002B30309D}"="File Property Page Extension" "{B091E540-83E3-11CF-A713-0020AFD79762}"="File Types Page" "{FBF23B41-E3F0-101B-8488-00AA003E56F8}"="MIME File Types Hook" "{C2FBB630-2971-11d1-A18C-00C04FD75D13}"="Microsoft CopyTo Service" "{C2FBB631-2971-11d1-A18C-00C04FD75D13}"="Microsoft MoveTo Service" "{13709620-C279-11CE-A49E-444553540000}"="Shell Automationsdienst" "{62112AA1-EBE4-11cf-A5FB-0020AFE7292D}"="Shell Automation Folder View" "{4622AD11-FF23-11d0-8D34-00A0C90F2719}"="Startmen" "{7BA4C740-9E81-11CF-99D3-00AA004AE837}"="Microsoft SendTo Service" "{D969A300-E7FF-11d0-A93B-00A0C90F2719}"="Microsoft New Object Service" "{09799AFB-AD67-11d1-ABCD-00C04FC30936}"="Open With Context Menu Handler" "{3FC0B520-68A9-11D0-8D77-00C04FD70822}"="Display Control Panel HTML Extensions" "{75048700-EF1F-11D0-9888-006097DEACF9}"="ActiveDesktop" "{6D5313C0-8C62-11D1-B2CD-006097DF8C11}"="Folder Options Property Page Extension" "{57651662-CE3E-11D0-8D77-00C04FC99D61}"="CmdFileIcon" "{4657278A-411B-11d2-839A-00C04FD918D0}"="Shell Drag & Drop-Hilfe" "{A470F8CF-A1E8-4f65-8335-227475AA5C46}"="Verschlsselungselemente zu den Kontextmens im Explorer hinzufgen" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{568804CA-CBD7-11d0-9816-00C04FD91972}"="Menu Shell Folder" "{5b4dae26-b807-11d0-9815-00c04fd91972}"="Menu Band" "{8278F931-2A3E-11d2-838F-00C04FD918D0}"="Tracking Shell Menu" "{E13EF4E4-D2F2-11d0-9816-00C04FD91972}"="Menu Site" "{ECD4FC4F-521C-11D0-B792-00A0C90312E1}"="Menu Desk Bar" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Merge Shell Folder" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{D82BE2B0-5764-11D0-A96E-00C04FD705A2}"="IShellFolderBand" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Microsoft SearchBand" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{0E5CBF21-D15F-11d0-8301-00AA005B4383}"="&Links" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7487cd30-f71a-11d0-9ea7-00805f714772}"="Thumbnail Image" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Zwischenspeicher-Ordner" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}"="Miniaturansicht" "{EAB841A0-9550-11CF-8C16-00805F1408F3}"="HTML Thumbnail Extractor" "{1AEB1360-5AFC-11D0-B806-00C04FD706EC}"="Office Graphics Filters Thumbnail Extractor" "{9DBD2C50-62AD-11D0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)" "{500202A0-731E-11D0-B829-00C04FD706EC}"="LNK file thumbnail interface delegator" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8C-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{fe1290f0-cfbd-11cf-a330-00aa00c16e65}"="Directory Namespace" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{450D8FBA-AD25-11D0-98A8-0800361B1103}"="MyDocs Folder" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{73B8785D-2544-44FA-8906-19177E75369C}"="" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}] @="" [HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}\InprocServer32] @="D:\\WINNT\\system32\\dykquoui.dll" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: D:\WINNT\SYSTEM32\ cdral.dll Mon 23 Jan 2006 11:44:16 A.... 45.056 44,00 K cdrtc.dll Mon 23 Jan 2006 11:44:16 A.... 49.152 48,00 K dykquoui.dll Tue 31 Jan 2006 10:07:56 ..S.R 237.036 231,48 K ir66l5~1.dll Tue 31 Jan 2006 9:53:32 ..S.R 237.036 231,48 K irpol5~1.dll Tue 31 Jan 2006 9:59:52 ..S.R 233.935 228,45 K k8800i~1.dll Tue 31 Jan 2006 10:07:54 ..S.R 237.124 231,57 K maricons.dll Tue 31 Jan 2006 9:53:32 ..S.R 235.371 229,85 K pdf995~1.dll Mon 23 Jan 2006 14:49:12 A.... 51.716 50,50 K pdfmona.dll Mon 23 Jan 2006 14:49:12 A.... 118.784 116,00 K pncrt.dll Mon 16 Jan 2006 19:32:02 A.... 278.528 272,00 K pndx5016.dll Mon 16 Jan 2006 19:32:04 A.... 6.656 6,50 K pndx5032.dll Mon 16 Jan 2006 19:32:04 A.... 5.632 5,50 K pqofmap.dll Tue 31 Jan 2006 9:59:54 ..S.R 237.036 231,48 K rmoc3260.dll Mon 16 Jan 2006 19:32:22 A.... 176.167 172,04 K 14 items found: 14 files (6 H/S), 0 directories. Total of file sizes: 2.149.229 bytes 2,05 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\WINNT\System32 31.01.2006 10:07 237.036 dykquoui.dll 31.01.2006 10:07 237.124 k8800ilme8qa0.dll 31.01.2006 09:59 237.036 pqofmap.dll 31.01.2006 09:59 233.935 irpol5731.dll 31.01.2006 09:53 235.371 maricons.dll 31.01.2006 09:53 237.036 ir66l5js1.dll 23.01.2006 11:43 <DIR> dllcache 6 Datei(en) 1.417.538 Bytes 1 Verzeichnis(se), 3.396.460.544 Bytes frei Gruß Matthias |
|
|
||
31.01.2006, 15:36
Ehrenmitglied
Beiträge: 29434 |
#8
das ist das log von Option 1... du musst Option 2 waehlen, dann nach neustart und scan--> poste den richtigen Scanreport
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.01.2006, 17:18
Member
Themenstarter Beiträge: 19 |
#9
Ich hoffe das ist der ScanReport den du meintest.
--------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 17:12:22, 31.01.2006 + Report-Checksumme: FA4F3AFA + Scanergebnis: [188] D:\WINNT\system32\ir06l5ds1.dll -> Spyware.Look2Me : Fehler beim Säubern [532] D:\Programme\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Gesäubert mit Backup [1252] D:\WINNT\system32\aathz.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\winnt\system32\dllcache\sys.BAT -> Trojan.NoShare : Gesäubert mit Backup C:\windows\system32\dllcache\sys.BAT -> Trojan.NoShare : Gesäubert mit Backup C:\drsmartload1.exe -> Downloader.Adload.j : Gesäubert mit Backup C:\Program Files\Sophos\Infected\ibm00001.000 -> Logger.Agent.jl : Gesäubert mit Backup C:\Program Files\Sophos\Infected\tool2[1].000 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup C:\Program Files\Sophos\Infected\tool2.000 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup C:\Program Files\Sophos\Infected\winstall.000 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup C:\Program Files\Sophos\Infected\toolbar[1].000 -> Downloader.Adload.j : Gesäubert mit Backup C:\Program Files\Sophos\Infected\toolbar.000 -> Downloader.Adload.j : Gesäubert mit Backup C:\Program Files\Sophos\Infected\sndu32.000 -> Backdoor.Haxdoor.gf : Gesäubert mit Backup C:\Program Files\Sophos\Infected\qm.000 -> Backdoor.Haxdoor.gf : Gesäubert mit Backup C:\Program Files\Sophos\Infected\winsysupd3[1].000 -> Hijacker.StartPage.ahg : Gesäubert mit Backup C:\Program Files\Sophos\Infected\winsysupd3.000 -> Hijacker.StartPage.ahg : Gesäubert mit Backup C:\Program Files\Sophos\Infected\winsysban3[1].000 -> Hijacker.VB.kc : Gesäubert mit Backup C:\Program Files\Sophos\Infected\winsysban3.000 -> Hijacker.VB.kc : Gesäubert mit Backup C:\Program Files\Sophos\Infected\WINSYS~1.001 -> Hijacker.StartPage.ahg : Gesäubert mit Backup C:\Program Files\Sophos\Infected\WINSYS~2.001 -> Hijacker.VB.kc : Gesäubert mit Backup C:\Program Files\Sophos\Infected\winstall.001 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup C:\Program Files\Sophos\Infected\ibm00003.000 -> Logger.Agent.jl : Gesäubert mit Backup C:\Program Files\Sophos\Infected\tool2.001 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup C:\Program Files\Sophos\Infected\toolbar.001 -> Downloader.Adload.j : Gesäubert mit Backup C:\Program Files\Sophos\Infected\WINSYS~2.002 -> Hijacker.VB.kc : Gesäubert mit Backup C:\Program Files\Sophos\Infected\WINSYS~2.003 -> Hijacker.VB.kc : Gesäubert mit Backup C:\Program Files\Sophos\Infected\winsysban3.001 -> Hijacker.VB.kc : Gesäubert mit Backup C:\Program Files\Sophos\Infected\WINSYS~2.004 -> Hijacker.VB.kc : Gesäubert mit Backup D:\!KillBox\400.exe -> Downloader.Small.cgl : Gesäubert mit Backup D:\!KillBox\anicap32.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\c400ledm1h0a.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\dykquoui.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\guard.tmp -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\ibm00003.dll -> Logger.Agent.jo : Gesäubert mit Backup D:\!KillBox\ibm00004.dll -> Logger.Agent.jo : Gesäubert mit Backup D:\!KillBox\irnol5531.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\irpol5731.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\kl.exe -> Logger.Small.dg : Gesäubert mit Backup D:\!KillBox\maricons.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\mtfaxmon.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\myupdates.exe -> Downloader.Adload.l : Gesäubert mit Backup D:\!KillBox\paytime.exe -> Hijacker.StartPage.agp : Gesäubert mit Backup D:\!KillBox\pqofmap.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\!KillBox\tool3.exe -> Downloader.Small.chc : Gesäubert mit Backup D:\!KillBox\wmedia32.exe -> Logger.Banker.arm : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\400.exe -> Downloader.Small.cgl : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\paytime.exe -> Hijacker.StartPage.agp : Gesäubert mit Backup D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\wmedia32.exe -> Logger.Banker.arm : Gesäubert mit Backup D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll -> Logger.Agent.jo : Gesäubert mit Backup D:\Programme\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Gesäubert mit Backup D:\WINNT\system32\aathz.dll -> Spyware.Look2Me : Gesäubert mit Backup D:\WINNT\system32\g8jo0i13e8.dll -> Spyware.Look2Me : Gesäubert mit Backup ::Report Ende MFG Matthias |
|
|
||
31.01.2006, 23:39
Ehrenmitglied
Beiträge: 29434 |
#10
scanne mit Panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html + Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 12:55
Member
Themenstarter Beiträge: 19 |
#11
Vielen dank erst mal für deine bemühungen bisher.
Folgendes Problem jetzt (werd noch wahnsinnig...): Das mit dem Panda ging nicht. Als ich anklicken sollte, was ich denn scannen will ist nichts passiert (ActiveX-Problem?). Das problem ist auch, sobald ich im netz bin erscheinen auf meinem desktop neue verknüpfungen zu internetseiten und ich bin nicht sicher, was noch alles im hintergrund abläuft (dewegen hatte ich es bisher auch vermieden länger ins netz zu gehen). Noch viel schlimmer: Kann den rechner nicht mehr im normalen modus hochfahren, fährt sich beim einloggen in windows immer neu hoch! Abgesicherter modus geht noch. Bin nahe dran alles plattzumachen .... MFG Matthias |
|
|
||
01.02.2006, 14:58
Ehrenmitglied
Beiträge: 29434 |
#12
platt machen waere von beginn an das beste gewesen...der PC ist hoffnungslos verseucht.... Backdoor.Rbot ...er wird schon nicht mehr von dir gesteuert.
Formatiere und komme mit dem neuen log vom HijackThis weider. http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 15:07
Member
Themenstarter Beiträge: 19 |
#13
rechner fährt nun doch wieder normal hoch. hier die hijackthis-log (noch vor dem formatieren). wenn ich nicht positives von dir hör mache ich platt...
Logfile of HijackThis v1.99.1 Scan saved at 14:58:06, on 01.02.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe C:\Program Files\Sophos\Remote Update\cachemgr.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\nvsvc32.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe C:\Program Files\Sophos\SWNETSUP.EXE D:\WINNT\system32\ZoneLabs\vsmon.exe D:\WINNT\Explorer.EXE D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\rundll32.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\WINNT\system32\internat.exe D:\Programme\Spyware Doctor\swdoctor.exe D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\Sophos\ICMON.EXE D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Microsoft Network Neighbourhood] networknbh.exe O4 - HKLM\..\Run: [PayTime] D:\WINNT\system32\paytime.exe O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd3.exe O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe O4 - HKLM\..\Run: [ntdll.dll] D:\WINNT\system32\paytime.exe O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft Network Neighbourhood] networknbh.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Shell] "D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterCheck Monitor.lnk = C:\Program Files\Sophos\ICMON.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Remote Update Monitor.lnk = C:\Program Files\Sophos\Remote Update\imonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CCS\Services\Tcpip\..\{619560B2-2706-46BC-B549-08E38F6ACBA0}: NameServer = 141.67.105.20 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O20 - Winlogon Notify: Uninstall - D:\WINNT\system32\guard.tmp O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Program Files\Sophos\Remote Update\cachemgr.exe O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINNT\TVc\command.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing) O23 - Service: Network Monitor - Unknown owner - D:\Programme\Network Monitor\netmon.exe (file missing) O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing) O23 - Service: Sophos Anti-Virus (FAUSAV 2.1) Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (FAUSAV 2.1) (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos\SWEEPSRV.SYS O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe |
|
|
||
01.02.2006, 16:06
Ehrenmitglied
Beiträge: 29434 |
#14
Double Helix
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O4 - HKLM\..\Run: [Microsoft Network Neighbourhood] networknbh.exe O4 - HKLM\..\Run: [PayTime] D:\WINNT\system32\paytime.exe O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd3.exe O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe O4 - HKLM\..\Run: [ntdll.dll] D:\WINNT\system32\paytime.exe O4 - HKLM\..\RunServices: [Microsoft Network Neighbourhood] networknbh.exe O4 - HKCU\..\Run: [Shell] "D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O20 - Winlogon Notify: Uninstall - D:\WINNT\system32\guard.tmp O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINNT\TVc\command.exe (file missing) O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing) O23 - Service: Network Monitor - Unknown owner - D:\Programme\Network Monitor\netmon.exe (file missing) O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing) O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing) PC neustarten loesche: C:\Program Files\SpySheriff D:\WINNT\system32\guard.tmp Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Command Service in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Network Monitor in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) FireDaemon Service in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. Zitat ist dir diese Internetverbindung ein Begriff ???? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 18:51
Member
Themenstarter Beiträge: 19 |
#15
Folgende Fehlermeldung und neubooten beim anmelden (abgesicherter modus geht wohl):
Zitat IRQL_NOT_LESS_OR_EQUAL Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{619560B2-2706-46BC-B549-08E38F6ACBA0}: NameServer = 141.67.105.20Ist der bevorzugte DNS-Server in unserem Netzwerk. REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 01.02.2006 18:34:08 for strings: ; 'command service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService] "DisplayName"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService] "DisplayName"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService] "DisplayName"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService] "DisplayName"="Command Service" ; End Of The Log... REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 01.02.2006 18:36:40 for strings: ; 'network monitor' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum] ; End Of The Log... REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 01.02.2006 18:39:15 for strings: ; 'firedaemon service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\eventsec] "DisplayName"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntsysvers] "DisplayName"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runbatch] "DisplayName"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eventsec] "DisplayName"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntsysvers] "DisplayName"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runbatch] "DisplayName"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\eventsec] "DisplayName"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntsysvers] "DisplayName"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\runbatch] "DisplayName"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventsec] "DisplayName"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsysvers] "DisplayName"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runbatch] "DisplayName"="FireDaemon Service: runbatch" ; End Of The Log... MFG Matthias |
|
|
||
Bin nun mittlerweile zum zweiten mal Opfer des SpySheriffs geworden innerhalb von nur 3 Wochen! Hatte es beim ersten mal aufgegeben und meine Festplatte neu formatiert. Gestern nun zeigte mir Sophos plötzlich zich meldungen an, es wurde der und der Trojaner/Virus entdeckt. Und schwupps.. schon hatte ich wieder dass SpySheriff-Symbol auf meinem Rechner. Grrrr.... Kann es sein dass die meine IP kennen und meinen rechner direkt attakiert haben?? Hab nämlich keinerlei verdächtigen mails oder Dateien geöffnet. Mein Rechner hängt in einem Netzwerk und mir wurde gesagt, die Serverfirewall würde gut funktionieren. Das scheint allerdings nicht der fall zu sein.
Wäre klasse, wenn ihr mir beim Entfernen des Sheriffs helfen könntet, da ich wenig lust habe, die ganze formatierungsprozedur noch einmal durchzuführen.
Hab bereits den CCleaner und die datfind.bat ausgeführt, jedoch passiert beim doppelklick auf silentrunners.vbs an meinem Rechner nichts und es kommt auch keine Fehlermeldung!? Ein Eintrag Enabled in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings gibt es jedoch nicht.
Hier die 4 Textdateien:
Verzeichnis von D:\WINNT\system32
27.01.2006 10:07 235.772 CAVFAT.DLL
27.01.2006 10:04 235.772 p04ulah91d4.dll
27.01.2006 09:53 235.772 m4rmle911h.dll
26.01.2006 20:38 235.772 fuamebuf.dll
26.01.2006 20:28 235.772 mwr.dll
26.01.2006 20:16 235.772 dlkquoui.dll
26.01.2006 20:12 234.272 e2jm0c11ef.dll
26.01.2006 19:59 45.110 wmedia32.exe
26.01.2006 19:55 687.592 atmtd.dll._
26.01.2006 19:55 687.592 atmtd.dll
26.01.2006 19:54 479.232 msupdate32.dll
26.01.2006 19:53 7.285 paytime.exe
26.01.2006 19:53 7.507 400.exe
26.01.2006 19:53 1.921.380 explore.exe
26.01.2006 19:53 105.472 networknbh.exe
26.01.2006 17:00 99.848 FNTCACHE.DAT
23.01.2006 14:49 118.784 pdfmona.dll
23.01.2006 14:49 51.716 pdf995mon.dll
23.01.2006 11:44 49.152 cdrtc.dll
23.01.2006 11:44 45.056 cdral.dll
16.01.2006 19:32 176.167 rmoc3260.dll
16.01.2006 19:32 5.632 pndx5032.dll
16.01.2006 19:32 6.656 pndx5016.dll
16.01.2006 19:32 278.528 pncrt.dll
16.01.2006 14:39 2.170 spupdsvc.log
16.01.2006 14:39 314 spupdw2k.log
16.01.2006 13:53 2.951 CONFIG.NT
16.01.2006 13:53 16.832 amcompat.tlb
16.01.2006 13:53 23.392 nscompat.tlb
16.01.2006 13:52 289.156 perfh007.dat
16.01.2006 13:52 300.378 perfh009.dat
16.01.2006 13:52 38.036 perfc009.dat
16.01.2006 13:52 46.232 perfc007.dat
16.01.2006 13:52 21.817 folder.htt
16.01.2006 13:52 271 desktop.ini
16.01.2006 13:51 525 mapisvc.inf
16.01.2006 13:51 15.076 emptyregdb.dat
16.01.2006 13:35 303.354 PerfStringBackup_001.INI
16.01.2006 13:35 303.354 PerfStringBackup.INI
16.01.2006 13:34 301 $winnt$.inf
29.11.2005 16:16 98.576 ctxsetup.exe
02.11.2005 00:44 127.574 tsuninst.exe
Verzeichnis von D:\DOKUME~1\wittasms\LOKALE~1\Temp
Verzeichnis von D:\
27.01.2006 17:45 0 sys.txt
27.01.2006 17:45 2.024 system2.txt
27.01.2006 17:44 4.648 system.txt
27.01.2006 17:43 140 systemtemp.txt
27.01.2006 17:41 86.763 system32.txt
27.01.2006 10:06 805.306.368 pagefile.sys
26.01.2006 20:17 1.921.380 explore.exe
26.01.2006 20:17 7.507 400.exe
Verzeichnis von D:\WINNT
27.01.2006 12:30 50.912 iconu.exe
27.01.2006 10:02 24.296 icont.exe
26.01.2006 20:51 1.285.470 ShellIconCache
26.01.2006 20:00 0 tool1.exe
26.01.2006 19:59 3.072 secure32.html
26.01.2006 19:59 72.019 kl.exe
26.01.2006 19:56 6.352 SchedLgU.Txt
26.01.2006 19:54 780 hosts
26.01.2006 19:54 1.024 tool5.exe
26.01.2006 19:54 1.024 tool4.exe
26.01.2006 19:54 2.560 tool3.exe
26.01.2006 19:53 1.999 desktop.html
26.01.2006 19:53 0 uniq
26.01.2006 12:05 919 ODBC.INI
26.01.2006 12:04 421 win.ini
26.01.2006 11:59 37 vbaddin.ini
25.01.2006 13:45 14.799 mozver.dat
23.01.2006 14:49 48 wpd99.drv
23.01.2006 14:49 28 pdf995.ini
23.01.2006 11:44 57.344 uneng.exe
23.01.2006 11:43 316.640 WMSysPr9.prx
16.01.2006 19:28 121 Winamp.ini
16.01.2006 16:41 41.039 nsreg.dat
16.01.2006 16:32 0 netscape.INI
16.01.2006 16:08 107.132 UninstallThunderbird.exe
16.01.2006 15:16 107.132 UninstallFirefox.exe
16.01.2006 14:49 564 Register Sound Blaster PCI128 (Drivers Only) Web Release.lnk
16.01.2006 14:02 8.192 REGLOCS.OLD
16.01.2006 13:53 0 control.ini
16.01.2006 13:52 4.073 ODBCINST.INI
16.01.2006 13:52 271 desktop.ini
16.01.2006 13:52 21.817 folder.htt
16.01.2006 13:50 36 vb.ini
16.01.2006 13:39 39 ModemDet.txt
16.01.2006 13:35 231 system.ini
03.01.2006 17:45 1.989 uninstall_nmon.vbs