Home » Viren, Trojaner & Malware Forum » Virus??? Hier meine Hijackthis-log » Themenansicht

Virus??? Hier meine Hijackthis-log

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.02.2006, 19:06
Andidrums
...neu hier

Beiträge: 8
#1 Hallo!

Habe mir wahrscheinlich den Virus/ Trojaner eingefangen. Mach sowas zum ersten Mal und kenn mich deshalb nicht so richtig aus. Habe vorab aber schon mal die Log von Hijackthis erstellen lassen. Bitte um Hilfe!!!


Logfile of HijackThis v1.99.1
Scan saved at 19:01:33, on 11.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Q29yaW5hIEtpbms\command.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\winsysban7.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Corina\Desktop\michi\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/vek/signup.pl?code=stcd01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe
O4 - HKLM\..\Run: [gimmygames] c:\\gimmygames.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - HKCU\..\RunServices: [0utlook Express] ahddg.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\o8480ihue8480.dll
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q29yaW5hIEtpbms\command.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
12.02.2006, 12:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Andidrums

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\WINDOWS\Q29yaW5hIEtpbms" >> files.txt
dir "C:\WINDOWS">> files.txt
notepad files.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 18:26
Andidrums
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo!

Hoffe, das alles so richtig ist!
Gruß

Verzeichnis von C:\WINDOWS\system32
12.02.2006 18:11 235.120 guard.tmp
12.02.2006 18:10 4.452 nvapps.xml
12.02.2006 18:10 235.120 ikcvid.dll
12.02.2006 18:02 235.670 t08u0al9edq.dll
12.02.2006 17:52 235.120 lv0409dqe.dll
11.02.2006 18:10 236.821 en0sl1d71.dll
11.02.2006 16:50 16.832 amcompat.tlb
11.02.2006 16:50 23.392 nscompat.tlb
11.02.2006 15:56 235.467 jt4o07h3e.dll
10.02.2006 20:51 220.040 FNTCACHE.DAT
08.02.2006 21:17 2.422 wpa.dbl
08.02.2006 20:24 280 intxt.exe
08.02.2006 20:24 280 winapi32.dll
08.02.2006 20:24 280 mswinf32.dll
08.02.2006 20:24 280 mswinf32.exe
08.02.2006 20:23 280 mswinb32.exe
08.02.2006 20:23 280 mswinb32.dll
08.02.2006 20:23 0 winlfl32.dll
08.02.2006 20:23 65 mswinup32.dll
08.02.2006 20:23 687.592 atmtd.dll
08.02.2006 20:23 687.592 atmtd.dll._
08.02.2006 20:22 0 mswinxml.dll
08.02.2006 20:22 11.042 azebar.xml
08.02.2006 20:22 10.240 iasada.dll
03.02.2006 21:09 383.254 perfh009.dat
03.02.2006 21:09 53.608 perfc009.dat
03.02.2006 21:09 394.500 perfh007.dat
03.02.2006 21:09 64.598 perfc007.dat
03.02.2006 21:09 899.052 PerfStringBackup.INI
28.01.2006 21:58 3.200 qtplugin.log
28.01.2006 17:18 2.883 MRT.INI
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 19:46 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
14.12.2005 09:24 118.784 sirenacm.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
02.11.2005 00:44 127.574 tsuninst.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\DOKUME~1\Corina\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS

12.02.2006 18:10 0 0.log
12.02.2006 18:10 1.790.468 WindowsUpdate.log
12.02.2006 18:10 157 wiadebug.log
12.02.2006 18:10 50 wiaservc.log
12.02.2006 18:09 2.048 bootstat.dat
12.02.2006 18:09 32.580 SchedLgU.Txt
11.02.2006 20:23 1.409 QTFont.for
11.02.2006 20:23 54.156 QTFont.qfn
11.02.2006 20:05 77.679 iis6.log
11.02.2006 20:05 317.239 setupapi.log
11.02.2006 18:33 107.132 UninstallFirefox.exe
11.02.2006 18:33 5.125 mozver.dat
11.02.2006 18:17 50.912 iconu.exe
11.02.2006 18:10 227 system.ini
11.02.2006 18:10 729 win.ini
11.02.2006 16:51 246.744 wmsetup.log
11.02.2006 16:51 236 wmsetup10.log
11.02.2006 16:49 316.640 WMSysPr9.prx
11.02.2006 16:01 0 winsysupd71.dat
10.02.2006 18:28 24.576 gimmygames.exe
09.02.2006 18:44 40 teller2.chk
09.02.2006 18:43 0 winsysupd61.dat
09.02.2006 18:43 69.632 winsysban7.exe
09.02.2006 18:43 20.480 winsysupd7.exe
08.02.2006 20:23 0 myupdates1.dat
08.02.2006 20:23 42 drsmartload2.dat
08.02.2006 20:23 0 gimmygames1.dat
08.02.2006 20:22 20.480 winsysupd6.exe
08.02.2006 20:22 0 uniq
08.02.2006 20:22 12.344 azesearch.bmp
08.02.2006 19:53 0 nsreg.dat
08.02.2006 19:52 107.132 UninstallThunderbird.exe
05.02.2006 16:19 13.125 LUINSTALL.LOG
28.01.2006 19:53 400 ODBC.INI
28.01.2006 17:18 195.559 tsoc.log
28.01.2006 17:18 1.374 imsins.log
28.01.2006 17:18 108.122 ntdtcsetup.log
28.01.2006 17:18 24.559 ocmsn.log
28.01.2006 17:18 177.597 comsetup.log
28.01.2006 17:18 14.747 KB896424.log
28.01.2006 17:18 259.308 ocgen.log
28.01.2006 17:18 25.141 msgsocm.log
28.01.2006 17:18 493.082 FaxSetup.log
28.01.2006 17:18 1.374 imsins.BAK
28.01.2006 17:18 9.983 KB910437.log
28.01.2006 17:18 22.048 updspapi.log
28.01.2006 17:18 15.843 KB905915.log
28.01.2006 17:18 11.242 KB912919.log
28.01.2006 17:18 10.402 KB908519.log
10.01.2006 19:07 0 MSDraw.ini
06.01.2006 14:15 29.974 ModemLog_Motorola USB Modem #2.txt
03.01.2006 17:45 1.989 uninstall_nmon.vbs
02.01.2006 18:05 94 cdplayer.ini
18.12.2005 20:03 84.305 DirectX.log
18.12.2005 20:03 323 doom3.ini
17.12.2005 21:07 22 FLASHKSK.INI
17.12.2005 18:52 180.412 setupact.log
23.10.2005 11:30 21.106 KB901017.log
23.10.2005 11:30 23.514 KB902400.log
23.10.2005 11:30 17.077 KB896688.log
23.10.2005 11:30 13.798 KB905414.log
23.10.2005 11:29 13.610 KB900725.log
23.10.2005 11:29 11.394 KB904706.log
23.10.2005 11:29 11.990 KB905749.log


Verzeichnis von C:\

12.02.2006 18:20 0 sys.txt
12.02.2006 18:19 11.736 system.txt
12.02.2006 18:19 134 systemtemp.txt
12.02.2006 18:19 100.741 system32.txt
12.02.2006 18:09 268.013.568 hiberfil.sys
12.02.2006 18:09 402.653.184 pagefile.sys
11.02.2006 18:38 24.576 gimmygames.exe
11.02.2006 18:10 211 boot.ini
10.02.2006 19:23 578.560 Installer.exe
08.02.2006 20:22 517.168 ucmoreiex.exe
28.01.2006 22:33 113 ps_system_Zeit.txt
26.12.2005 17:47 156 NeroTemp.nrg
17.12.2005 20:21 162 TO_InstallLog.txt
09.08.2005 20:38 168 setupfax.log
09.08.2005 19:30 0 DBS.TXT
21.11.2004 18:28 47.564 NTDETECT.COM
21.11.2004 18:28 251.184 ntldr
04.10.2004 17:35 2.264 log.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows

11.02.2006 16:21 <DIR> .
11.02.2006 16:21 <DIR> ..
02.11.2005 10:00 171.520 AutoIt3.exe
08.02.2006 20:23 436.932 mc-110-12-0000228.exe
04.02.2004 14:06 45.136 psapi.dll
11.02.2006 16:21 27 request.html
31.07.2005 17:29 126.976 services32.exe
5 Datei(en) 780.591 Bytes
2 Verzeichnis(se), 69.183.348.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040


Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

Verzeichnis von C:\Programme\Gemeinsame Dateien

08.02.2006 21:22 <DIR> .
08.02.2006 21:22 <DIR> ..
17.12.2005 20:33 <DIR> Adobe
28.01.2006 21:39 <DIR> Ahead
28.01.2006 19:51 <DIR> DESIGNER
29.05.2004 20:29 <DIR> Dienste
06.03.2005 17:07 <DIR> Digi338
28.01.2006 22:27 <DIR> element5 Shared
08.02.2006 20:22 <DIR> InetGet
09.08.2005 19:27 <DIR> InstallShield
28.01.2006 19:56 <DIR> Microsoft Shared
29.05.2004 20:29 <DIR> MSSoap
17.12.2005 22:20 <DIR> NewSoft
29.05.2004 03:23 <DIR> ODBC
08.02.2006 20:34 <DIR> rzor
29.05.2004 03:23 <DIR> SpeechEngines
02.02.2006 18:30 <DIR> SWF Studio
05.02.2006 16:23 <DIR> Symantec Shared
28.01.2006 19:51 <DIR> System
11.02.2006 16:21 <DIR> Windows
10.02.2006 20:45 <DIR> WinFixer 2005
08.02.2006 21:22 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 69.183.344.640 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\WINDOWS\Q29yaW5hIEtpbms

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\WINDOWS

12.02.2006 18:08 <DIR> .
12.02.2006 18:08 <DIR> ..
12.02.2006 18:10 0 0.log
24.04.2005 11:32 35 A5W.INI
24.04.2005 11:33 <DIR> A5W_DATA
20.06.2004 22:49 7.204 Active Setup Log.txt
29.05.2004 04:19 <DIR> addins
02.04.2003 13:00 17.336 Angler.bmp
21.11.2004 18:47 <DIR> AppPatch
03.04.2005 19:41 3.289 Ascd_tmp.ini
08.02.2006 20:22 12.344 azesearch.bmp
02.01.2006 18:05 94 cdplayer.ini
02.04.2003 13:00 82.944 clock.avi
21.11.2004 18:39 200 cmsetacl.log
24.08.2004 00:32 1.450 COM+.log
28.01.2006 17:18 177.597 comsetup.log
29.05.2004 04:19 <DIR> Config
29.05.2004 04:19 <DIR> Connection Wizard
29.05.2004 20:31 0 control.ini
20.06.2004 22:49 <DIR> Cursors
23.08.2004 23:40 19.660 dahotfix.log
11.03.2005 16:45 <DIR> Debug
15.03.2001 08:06 4.608 DelShell.exe
02.04.2003 13:00 2 desktop.ini
18.12.2005 20:03 84.305 DirectX.log
18.12.2005 20:03 323 doom3.ini
24.08.2004 00:29 <DIR> Downloaded Installations
29.05.2004 04:19 <DIR> Driver Cache
08.02.2006 20:23 42 drsmartload2.dat
21.11.2004 18:50 360 DtcInstall.log
21.11.2004 18:22 <DIR> EHome
28.01.2006 16:12 <DIR> exefld
04.08.2004 08:57 1.035.264 explorer.exe
02.04.2003 13:00 80 explorer.scf
28.01.2006 17:18 493.082 FaxSetup.log
02.04.2003 13:00 16.730 Feder.bmp
17.12.2005 21:07 22 FLASHKSK.INI
02.04.2003 13:00 26.680 F„cher.bmp
10.02.2006 18:28 24.576 gimmygames.exe
08.02.2006 20:23 0 gimmygames1.dat
02.04.2003 13:00 26.582 Granit.bmp
11.02.2006 16:50 <DIR> Help
27.05.2005 00:22 10.752 hh.exe
11.02.2006 18:17 50.912 iconu.exe
17.05.2005 21:21 30 Iedit.INI
03.03.2003 15:25 34.304 ieuninst.exe
11.02.2006 20:05 77.679 iis6.log
21.11.2004 18:37 <DIR> ime
28.01.2006 17:18 1.374 imsins.BAK
28.01.2006 17:18 1.374 imsins.log
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
29.05.2004 04:19 <DIR> java
02.04.2003 13:00 17.062 Kaffeetasse.bmp

18.04.2004 07:57 16.384 KS.EXE
09.08.2005 20:47 458 lexstat.ini
05.02.2006 16:19 13.125 LUINSTALL.LOG
30.10.2002 15:20 21.504 LXBRSET.EXE
09.08.2005 20:32 37 marscam.ini
21.11.2004 18:37 <DIR> Media
24.08.2004 00:30 <DIR> Microsoft.NET
06.01.2006 14:15 29.974 ModemLog_Motorola USB Modem #2.txt
11.02.2006 18:33 5.125 mozver.dat
07.12.2000 09:13 15.164 Mr310twv.ini
16.08.2002 16:41 12.106 Mr310twv.src
17.06.2005 20:47 <DIR> msagent
29.05.2004 04:19 <DIR> msapps
02.04.2003 13:00 1.405 msdfmap.ini
10.01.2006 19:07 0 MSDraw.ini
28.01.2006 17:18 25.141 msgsocm.log
29.05.2004 04:19 <DIR> mui
18.06.2004 13:40 33.280 muninst.exe
08.02.2006 20:23 0 myupdates1.dat
04.08.2004 08:58 70.144 notepad.exe
08.02.2006 19:53 0 nsreg.dat
28.01.2006 17:18 108.122 ntdtcsetup.log
24.08.2004 17:05 <DIR> nview
28.01.2006 17:18 259.308 ocgen.log
28.01.2006 17:18 24.559 ocmsn.log
28.01.2006 19:53 400 ODBC.INI
29.05.2004 20:31 4.161 ODBCINST.INI
26.07.2003 00:36 34.304 oeuninst.exe
21.11.2004 18:56 1.174 OEWABLog.txt
29.05.2004 20:30 <DIR> Offline Web Pages
28.01.2006 19:51 <DIR> PCHealth
21.11.2004 18:37 <DIR> PeerNet
12.02.2006 18:20 <DIR> Prefetch
17.12.2005 20:33 <DIR> Profiles
21.11.2004 18:37 <DIR> provisioning
02.04.2003 13:00 65.954 Pr„riewind.bmp
28.01.2006 23:03 <DIR> pss

11.02.2006 20:23 1.409 QTFont.for
04.08.2004 08:58 153.600 regedit.exe
11.02.2006 16:50 <DIR> RegisteredPackages
24.08.2004 00:31 <DIR> Registration
29.05.2004 20:34 8.192 REGLOCS.OLD
29.05.2004 03:23 1.348 regopt.log
29.05.2004 20:31 <DIR> repair
29.05.2004 04:19 <DIR> Resources
02.04.2003 13:00 17.362 Rhododendron.bmp
24.04.2005 11:33 87.787 Run32A50.mch
02.04.2003 13:00 65.832 Santa Fe-Stuck.bmp
12.02.2006 18:09 32.580 SchedLgU.Txt
11.02.2006 18:09 <DIR> security
02.04.2003 13:00 65.978 Seifenblase.bmp
21.11.2004 18:33 <DIR> ServicePackFiles
21.11.2004 18:38 1.330 sessmgr.setup.log
13.09.2004 20:09 <DIR> SETUP533
08.01.2003 13:43 163 Setup533.ini
17.12.2005 18:52 180.412 setupact.log
11.02.2006 20:05 317.239 setupapi.log
21.11.2004 17:19 1.354.281 setupapi.log.0.old
03.04.2005 19:42 2.305.086 setupapi.log.1.old
29.05.2004 03:23 0 setuperr.log
28.01.2006 19:52 <DIR> SHELLNEW
04.08.2004 08:58 32.866 slrundll.exe

30.08.2002 12:59 380.928 SynCor.exe
12.05.2003 15:55 978.944 SynthCoreA.Dll
28.01.2006 19:56 <DIR> system
11.02.2006 18:10 227 system.ini
12.02.2006 18:11 <DIR> system32
02.04.2003 13:00 15.872 TASKMAN.EXE
09.02.2006 18:44 40 teller2.chk
12.02.2006 18:10 <DIR> Temp
28.01.2006 17:18 195.559 tsoc.log
26.10.2001 17:22 14.381 Tw533a.ini
23.07.2001 07:53 7.431 Tw533a.src
02.04.2003 13:00 94.800 twain.dll
17.12.2005 21:39 <DIR> twain_32
04.08.2004 08:57 50.688 twain_32.dll
02.04.2003 13:00 49.680 twunk_16.exe
02.04.2003 13:00 25.600 twunk_32.exe
04.06.2005 17:09 <DIR> Ulead.dat
04.06.2005 17:11 932 Ulead32.ini
13.10.1997 19:55 299.008 unin0407.exe
11.02.2006 18:33 107.132 UninstallFirefox.exe
08.02.2006 19:52 107.132 UninstallThunderbird.exe
03.01.2006 17:45 1.989 uninstall_nmon.vbs
08.02.2006 20:22 0 uniq
10.11.1999 12:05 86.016 unvise32qt.exe
28.01.2006 17:18 22.048 updspapi.log
07.08.2002 18:10 12.201 USB_533.ini
07.08.2002 18:10 12.201 USB_CAM.ini
29.05.2004 20:29 36 vb.ini
29.05.2004 20:29 37 vbaddin.ini
03.04.2005 19:42 <DIR> VirtualEar
02.04.2003 13:00 18.944 vmmreg32.dll
21.11.2004 18:29 <DIR> Web
12.02.2006 18:10 157 wiadebug.log
12.02.2006 18:10 50 wiaservc.log
11.02.2006 18:10 729 win.ini
25.06.2004 19:59 836 Windows Update.log
12.02.2006 18:10 1.790.468 WindowsUpdate.log
02.04.2003 13:00 257.568 winhelp.exe
04.08.2004 08:58 288.768 winhlp32.exe
30.06.2004 19:47 61 wininit.ini
21.11.2004 18:38 <DIR> WinSxS
09.02.2006 18:43 69.632 winsysban7.exe
08.02.2006 20:22 20.480 winsysupd6.exe
09.02.2006 18:43 0 winsysupd61.dat
09.02.2006 18:43 20.480 winsysupd7.exe
11.02.2006 16:01 0 winsysupd71.dat
02.04.2003 13:00 34.818 wmprfDEU.prx
11.02.2006 16:51 246.744 wmsetup.log
11.02.2006 16:51 236 wmsetup10.log
11.02.2006 16:49 316.640 WMSysPr9.prx
29.05.2004 20:31 299.552 WMSysPrx.prx
24.08.2004 00:28 8.171 xpsp1hfm.log
02.04.2003 13:00 9.522 Zapotek.bmp
02.04.2003 13:00 707 _default.pif
218 Datei(en) 16.013.771 Bytes
47 Verzeichnis(se), 69.183.315.968 Bytes frei
Seitenanfang Seitenende
12.02.2006, 22:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Versteckte- und Systemdateien
http://virus-protect.org/invisible.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]

----------------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe
O4 - HKLM\..\Run: [gimmygames] c:\\gimmygames.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - HKCU\..\RunServices: [0utlook Express] ahddg.exe

O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\o8480ihue8480.dll
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q29yaW5hIEtpbms\command.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

suche /loesche:
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Programme\Gemeinsame Dateien\WinFixer 2005
C:\Programme\Gemeinsame Dateien\InetGet
C:\WINDOWS\exefld
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\Q29yaW5hIEtpbms

boote wieder in den normalmodus:

arbeite das ab (am besten ebenfalls im abgesicherten Modus)
http://virus-protect.org/artikel/bfu/delf_bfu.html

L2mfix
http://virus-protect.org/l2mfix.html
arbeite Option 2 ab und poste nach neustart und scann den scanreport

Zitat

C:\WINDOWS\exefld
Troj/BagleDl-AO versucht, Dateien von zahlreichen festgelegten URLs in die Datei <Windows-Ordner\exefld\<Zufällige Ziffern>.exe herunterzuladen und auszuführen.

Wenn er zum ersten Mal gestartet wird, kopiert sich Troj/BagleDl-AO nach <Windows-Systemordner>\anti_troj.exe.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.02.2006, 13:35
Andidrums
...neu hier

Themenstarter

Beiträge: 8
#5 Hallo Sabina!

Hat nun etwas länger gedauert, da es sich nicht um meinen Rechner handelt. Habe nun alles so ausgeführt, wie Du gesagt hast. Hoffe war alles richtig. Habe nun das Log aus dem L2mfix angehängt und nochmal den Hijackthis-log eingestellt. Vielen Dank!!!


L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgefhrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 552 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 828 'winlogon.exe'
Killing PID 828 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 492 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1576 'rundll32.exe'
Killing PID 2108 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\policies]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\ir0ol5d31.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/en0sl1d71.dll (184 bytes security) (deflated 5%)
adding: dlls/hpui.dll (184 bytes security) (deflated 5%)
adding: dlls/ir0ol5d31.dll (184 bytes security) (deflated 5%)
adding: dlls/jt4o07h3e.dll (184 bytes security) (deflated 5%)
adding: dlls/lv2m09f1e.dll (184 bytes security) (deflated 5%)
adding: dlls/mzvcp50.dll (184 bytes security) (deflated 5%)
adding: dlls/TnnLib20.dll (184 bytes security) (deflated 5%)
adding: backregs/A01C41DD-B30A-4564-ADBB-E7DB2065437C.reg (188 bytes security) (deflated 70%)
adding: backregs/ACFE95AE-D496-49AE-81EE-F4EC98F7921E.reg (188 bytes security) (deflated 70%)
adding: backregs/notibac.reg (184 bytes security) (deflated 87%)
adding: backregs/shell.reg (184 bytes security) (deflated 73%)



Logfile of HijackThis v1.99.1
Scan saved at 11:59:27, on 16.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Corina\Desktop\michi\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/vek/signup.pl?code=stcd01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\ir0ol5d31.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
16.02.2006, 14:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Andidrums

Fixe mit dem HijackThis:
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\ir0ol5d31.dll (file missing)

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Spysweeper (trial)--> poste den scanreport
http://virus-protect.org/spysweeper.html

ich mochte bitte noch mal zur Ueberpruefung alle Textdateien sehen ;) ..siehe oben...also die 4 Logs von Datfindbat und list.bat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2006, 18:02
Andidrums
...neu hier

Themenstarter

Beiträge: 8
#7 Hallo!

Anbei die verlangten Scan-Reports!

Gruß Andi


********
17:39: | Start of Session, Samstag, 18. Februar 2006 |
17:39: Spy Sweeper started
17:39: Sweep initiated using definitions version 617
17:39: Starting Memory Sweep
17:42: Memory Sweep Complete, Elapsed Time: 00:03:30
17:42: Starting Registry Sweep
17:42: Found Adware: azsearch toolbar
17:42: HKCR\addressbar.loader.1\ (3 subtraces) (ID = 103884)
17:42: HKCR\addressbar.loader\ (5 subtraces) (ID = 103885)
17:42: HKCR\clsid\{f65b197f-8260-4d52-909a-f70118e646eb}\ (8 subtraces) (ID = 103896)
17:42: HKLM\software\azesearchco\ (6 subtraces) (ID = 103906)
17:42: HKLM\software\classes\addressbar.loader.1\ (3 subtraces) (ID = 103907)
17:42: HKLM\software\classes\addressbar.loader\ (5 subtraces) (ID = 103908)
17:42: HKLM\software\classes\clsid\{f65b197f-8260-4d52-909a-f70118e646eb}\ (8 subtraces) (ID = 103920)
17:42: HKLM\software\loaderco\ (3 subtraces) (ID = 103942)
17:43: Found Adware: purityscan
17:43: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/conflict.1/mediaticketsinstaller.ocx\ (2 subtraces) (ID = 137984)
17:43: Found Adware: weirdontheweb
17:43: HKCR\amnotifier.hubawindow\ (5 subtraces) (ID = 866632)
17:43: Found Adware: mediapipe
17:43: HKCR\downloadmanager.manager\ (5 subtraces) (ID = 866642)
17:43: HKCR\downloadmanager.manager.1\ (3 subtraces) (ID = 866648)
17:43: HKCR\mpagent.agent\ (5 subtraces) (ID = 866662)
17:43: HKCR\mpagent.agent.1\ (3 subtraces) (ID = 866668)
17:43: HKCR\appid\amnotifier.exe\ (1 subtraces) (ID = 866682)
17:43: HKCR\appid\downloadmanager.exe\ (1 subtraces) (ID = 866684)
17:43: HKCR\appid\mpagent.dll\ (1 subtraces) (ID = 866688)
17:43: HKCR\appid\trayicon.exe\ (1 subtraces) (ID = 866692)
17:43: HKCR\appid\{4c0b0548-ae0b-4008-999d-db33b8b2eb90}\ (1 subtraces) (ID = 866694)
17:43: HKCR\appid\{7911272a-a32a-404e-8a51-ee18b99b18c4}\ (1 subtraces) (ID = 866698)
17:43: HKCR\appid\{99c4f93d-42a7-478d-8746-4afb6c10bc26}\ (1 subtraces) (ID = 866702)
17:43: HKCR\appid\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\ (1 subtraces) (ID = 866704)
17:43: HKCR\clsid\{1e9adaf2-4eda-4074-96ce-c9972e675c88}\ (7 subtraces) (ID = 866706)
17:43: HKCR\clsid\{7bf58804-e672-4b96-8eec-bfcce6492c9a}\ (7 subtraces) (ID = 866735)
17:43: Found Trojan Horse: p2pnetwork
17:43: HKCR\clsid\{b3e19860-0cd5-4991-a066-4fca2704de59}\ (7 subtraces) (ID = 866747)
17:43: HKLM\software\mediapipe\ (16 subtraces) (ID = 866893)
17:43: HKLM\software\classes\amnotifier.hubawindow\ (5 subtraces) (ID = 866911)
17:43: HKLM\software\classes\downloadmanager.manager\ (5 subtraces) (ID = 866921)
17:43: HKLM\software\classes\downloadmanager.manager.1\ (3 subtraces) (ID = 866927)
17:43: HKLM\software\classes\mpagent.agent\ (5 subtraces) (ID = 866941)
17:43: HKLM\software\classes\mpagent.agent.1\ (3 subtraces) (ID = 866947)
17:43: HKLM\software\classes\appid\amnotifier.exe\ (1 subtraces) (ID = 866961)
17:43: HKLM\software\classes\appid\downloadmanager.exe\ (1 subtraces) (ID = 866963)
17:43: HKLM\software\classes\appid\mpagent.dll\ (1 subtraces) (ID = 866967)
17:43: HKLM\software\classes\appid\trayicon.exe\ (1 subtraces) (ID = 866971)
17:43: HKLM\software\classes\appid\{4c0b0548-ae0b-4008-999d-db33b8b2eb90}\ (1 subtraces) (ID = 866973)
17:43: HKLM\software\classes\appid\{7911272a-a32a-404e-8a51-ee18b99b18c4}\ (1 subtraces) (ID = 866977)
17:43: HKLM\software\classes\appid\{99c4f93d-42a7-478d-8746-4afb6c10bc26}\ (1 subtraces) (ID = 866981)
17:43: HKLM\software\classes\appid\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\ (1 subtraces) (ID = 866983)
17:43: HKLM\software\classes\clsid\{1e9adaf2-4eda-4074-96ce-c9972e675c88}\ (7 subtraces) (ID = 866985)
17:43: HKLM\software\classes\clsid\{7bf58804-e672-4b96-8eec-bfcce6492c9a}\ (7 subtraces) (ID = 867014)
17:43: HKLM\software\classes\clsid\{b3e19860-0cd5-4991-a066-4fca2704de59}\ (7 subtraces) (ID = 867026)
17:43: Found Adware: command
17:43: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\0000\ (6 subtraces) (ID = 1016064)
17:43: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\ (8 subtraces) (ID = 1016072)
17:43: Found Adware: cashdeluxe
17:43: HKCR\winapi32.mybho\ (1 subtraces) (ID = 1106882)
17:43: HKLM\software\classes\winapi32.mybho\ (1 subtraces) (ID = 1106946)
17:43: Found Adware: winantispyware 2005
17:43: HKCR\uwfxcheck.uwfxcheck\ (5 subtraces) (ID = 1128629)
17:43: HKCR\uwfxcheck.uwfxcheck.1\ (3 subtraces) (ID = 1128635)
17:43: HKCR\clsid\{9f3d2a3c-d537-482b-a91b-44ee29f09c4b}\ (9 subtraces) (ID = 1128710)
17:43: HKLM\software\classes\uwfxcheck.uwfxcheck\ (5 subtraces) (ID = 1129021)
17:43: HKLM\software\classes\uwfxcheck.uwfxcheck.1\ (3 subtraces) (ID = 1129027)
17:43: HKLM\software\classes\clsid\{9f3d2a3c-d537-482b-a91b-44ee29f09c4b}\ (9 subtraces) (ID = 1129102)
17:43: Found Adware: dollarrevenue
17:43: HKLM\software\microsoft\drsmartload2\ (1 subtraces) (ID = 1134137)
17:43: Found Adware: cws-aboutblank
17:43: HKU\S-1-5-21-2000478354-813497703-725345543-1004\software\microsoft\internet explorer\main\ || homeoldsp (ID = 115923)
17:43: Found Trojan Horse: mitglieder_trojan
17:43: HKU\S-1-5-21-2000478354-813497703-725345543-1004\software\datetime\ (4 subtraces) (ID = 135123)
17:43: Found Adware: maxifiles
17:43: HKU\S-1-5-18\software\xbtb07618\ (59 subtraces) (ID = 134858)
17:43: Found Trojan Horse: rbot
17:43: HKU\S-1-5-18\software\microsoft\windows\currentversion\run\ || microsoft update machine (ID = 139242)
17:43: HKU\S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping\ || {77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f} (ID = 1021025)
17:43: Registry Sweep Complete, Elapsed Time:00:00:50
17:43: Starting Cookie Sweep
17:43: Found Spy Cookie: 2o7.net cookie
17:43: corina@2o7[2].txt (ID = 1957)
17:43: Found Spy Cookie: falkag cookie
17:43: corina@as-eu.falkag[1].txt (ID = 2650)
17:43: corina@as1.falkag[1].txt (ID = 2650)
17:43: Found Spy Cookie: atlas dmt cookie
17:43: corina@atdmt[2].txt (ID = 2253)
17:43: Found Spy Cookie: xhit cookie
17:43: corina@count.xhit[1].txt (ID = 3714)
17:43: Found Spy Cookie: mediaplex cookie
17:43: corina@mediaplex[1].txt (ID = 6442)
17:43: corina@sel.as-eu.falkag[1].txt (ID = 2650)
17:43: Found Spy Cookie: statcounter cookie
17:43: corina@statcounter[2].txt (ID = 3447)
17:43: Cookie Sweep Complete, Elapsed Time: 00:00:00
17:43: Starting File Sweep
17:43: c:\my accessmedia (1 subtraces) (ID = -2147469182)
17:44: mediaticketsinstaller.inf (ID = 73158)
17:52: Found Adware: look2me
17:52: en0sl1d71.dll (ID = 159)
17:52: jt4o07h3e.dll (ID = 159)
17:53: hpui.dll (ID = 159)
17:53: lv2m09f1e.dll (ID = 159)
17:53: mzvcp50.dll (ID = 159)
17:53: tnnlib20.dll (ID = 159)
17:53: ir0ol5d31.dll (ID = 159)
17:54: Found Adware: findthewebsiteyouneed hijacker
17:54: winsysban8[1].exe (ID = 245942)
17:55: backup-20060213-192733-477.inf (ID = 50329)
17:55: Found Adware: twain-tech
17:55: do27.inf (ID = 81896)
17:55: twaintec.inf (ID = 81888)
17:55: kz6vuqc1khqdvap.vbs (ID = 185675)
17:55: File Sweep Complete, Elapsed Time: 00:11:42
17:55: Full Sweep has completed. Elapsed time 00:16:13
17:55: Traces Found: 354
17:55: Removal process initiated
17:56: Quarantining All Traces: cws-aboutblank
17:56: Quarantining All Traces: look2me
17:56: Quarantining All Traces: mitglieder_trojan
17:56: Quarantining All Traces: purityscan
17:56: Quarantining All Traces: rbot
17:56: Quarantining All Traces: azsearch toolbar
17:56: Quarantining All Traces: dollarrevenue
17:56: Quarantining All Traces: maxifiles
17:56: Quarantining All Traces: p2pnetwork
17:56: Quarantining All Traces: cashdeluxe
17:56: Quarantining All Traces: command
17:56: Quarantining All Traces: findthewebsiteyouneed hijacker
17:56: Quarantining All Traces: mediapipe
17:56: Quarantining All Traces: twain-tech
17:56: Quarantining All Traces: weirdontheweb
17:56: Quarantining All Traces: 2o7.net cookie
17:56: Quarantining All Traces: atlas dmt cookie
17:56: Quarantining All Traces: falkag cookie
17:56: Quarantining All Traces: mediaplex cookie
17:56: Quarantining All Traces: statcounter cookie
17:56: Quarantining All Traces: winantispyware 2005
17:56: Quarantining All Traces: xhit cookie
17:56: Removal process completed. Elapsed time 00:00:23
********
17:34: | Start of Session, Samstag, 18. Februar 2006 |
17:34: Spy Sweeper started
17:35: Your spyware definitions have been updated.
17:38: Updating spyware definitions
17:38: Your definitions are up to date.
17:39: | End of Session, Samstag, 18. Februar 2006 |

Verzeichnis von C:\WINDOWS\system32

18.02.2006 17:26 4.452 nvapps.xml
18.02.2006 11:10 2.422 wpa.dbl
15.02.2006 22:01 0 asfiles.txt
15.02.2006 21:56 2.550 Uninstall.ico
15.02.2006 21:56 1.406 Help.ico
15.02.2006 21:56 30.590 pavas.ico
13.02.2006 21:05 0 lo2.txtt
11.02.2006 16:50 16.832 amcompat.tlb
11.02.2006 16:50 23.392 nscompat.tlb
10.02.2006 20:51 220.040 FNTCACHE.DAT
08.02.2006 06:23 4.513.120 MRT.exe
03.02.2006 21:09 383.254 perfh009.dat
03.02.2006 21:09 53.608 perfc009.dat
03.02.2006 21:09 394.500 perfh007.dat
03.02.2006 21:09 64.598 perfc007.dat

Verzeichnis von C:\DOKUME~1\Corina\LOKALE~1\Temp

18.02.2006 17:26 49.152 ~DFE6E3.tmp
18.02.2006 17:26 32.768 ~DFD710.tmp
18.02.2006 17:26 16.384 ~DFFA53.tmp
18.02.2006 17:03 0 TWAIN.LOG
18.02.2006 17:03 2 Twain001.Mtx

14.02.2006 18:16 16.384 ~DF4B84.tmp
13.02.2006 22:35 919.931 tmp.xpi
13.02.2006 22:28 49.152 ~DF59F.tmp
13.02.2006 22:28 32.768 ~DFF229.tmp
13.02.2006 22:27 16.384 ~DF6E6.tmp
13.02.2006 21:48 1.212.416 ~DF5FF8.tmp
13.02.2006 21:47 49.152 ~DFAEA0.tmp
13.02.2006 21:47 32.768 ~DFA3C7.tmp
13.02.2006 21:47 16.384 ~DF8211.tmp
13.02.2006 20:59 80.856 dat2.tmp
13.02.2006 20:48 11.004 MPC1.tmp
54 Datei(en) 3.656.185 Bytes
0 Verzeichnis(se), 59.939.725.312 Bytes frei


Verzeichnis von C:\WINDOWS

18.02.2006 17:34 900 win.ini
18.02.2006 17:26 0 0.log
18.02.2006 17:26 1.945.178 WindowsUpdate.log
18.02.2006 17:26 159 wiadebug.log
18.02.2006 17:26 50 wiaservc.log
18.02.2006 17:26 2.048 bootstat.dat
18.02.2006 17:25 32.562 SchedLgU.Txt
17.02.2006 19:48 364.758 setupapi.log
15.02.2006 23:35 29.789 spupdsvc.log
15.02.2006 23:34 25.927 ocmsn.log
15.02.2006 23:34 185.947 comsetup.log
15.02.2006 23:34 113.182 ntdtcsetup.log
15.02.2006 23:34 204.995 tsoc.log
15.02.2006 23:34 1.374 imsins.log
15.02.2006 23:34 81.675 iis6.log
15.02.2006 23:34 10.589 KB911927.log
15.02.2006 23:34 270.972 ocgen.log
15.02.2006 23:34 26.377 msgsocm.log
15.02.2006 23:34 517.812 FaxSetup.log
15.02.2006 23:34 22.400 updspapi.log
15.02.2006 23:34 1.374 imsins.BAK
15.02.2006 23:34 7.084 KB911564.log
15.02.2006 23:34 247.212 wmsetup.log
15.02.2006 23:34 7.556 KB911565.log
15.02.2006 23:33 6.563 KB913446.log
15.02.2006 21:43 503.098 ntbtlog.txt
13.02.2006 22:35 5.747 mozver.dat
13.02.2006 19:17 0 winsysupd81.dat
11.02.2006 18:33 107.132 UninstallFirefox.exe
11.02.2006 18:10 227 system.ini
11.02.2006 16:51 236 wmsetup10.log
11.02.2006 16:49 316.640 WMSysPr9.prx
08.02.2006 19:53 0 nsreg.dat
08.02.2006 19:52 107.132 UninstallThunderbird.exe
05.02.2006 16:19 13.125 LUINSTALL.LOG
28.01.2006 19:53 400 ODBC.INI
28.01.2006 17:18 14.747 KB896424.log
28.01.2006 17:18 9.983 KB910437.log
28.01.2006 17:18 15.843 KB905915.log
28.01.2006 17:18 11.242 KB912919.log
28.01.2006 17:18 10.402 KB908519.log
25.01.2006 11:06 478.720 WRUninstall.dll
10.01.2006 19:07 0 MSDraw.ini
06.01.2006 14:15 29.974 ModemLog_Motorola USB Modem #2.txt
02.01.2006 18:05 94 cdplayer.ini
18.12.2005 20:03 84.305 DirectX.log
18.12.2005 20:03 323 doom3.ini
17.12.2005 21:07 22 FLASHKSK.INI
17.12.2005 18:52 180.412 setupact.lo


Verzeichnis von C:\

18.02.2006 18:01 0 sys.txt
18.02.2006 18:01 11.377 system.txt
18.02.2006 18:00 2.863 systemtemp.txt
18.02.2006 17:59 100.329 system32.txt
18.02.2006 17:26 268.013.568 hiberfil.sys
18.02.2006 17:26 402.653.184 pagefile.sys
12.02.2006 18:25 17.599 files.txt
11.02.2006 18:10 211 boot.ini
28.01.2006 22:33 113 ps_system_Zeit.txt
26.12.2005 17:47 156 NeroTemp.nrg
17.12.2005 20:21 162 TO_InstallLog.txt
09.08.2005 20:38 168 setupfax.log
09.08.2005 19:30 0 DBS.TXT
21.11.2004 18:28 47.564 NTDETECT.COM
21.11.2004 18:28 251.184 ntldr
04.10.2004 17:35 2.264 log.txt
24.06.2004 21:37 2.689 TDSLCheck.txt
29.05.2004 20:31 0 MSDOS.SYS
29.05.2004 20:31 0 AUTOEXEC.BAT
29.05.2004 20:31 0 CONFIG.SYS
29.05.2004 20:31 0 IO.SYS
02.04.2003 13:00 4.952 bootfont.bin
22 Datei(en) 671.108.383 Bytes
0 Verzeichnis(se), 59.939.725.312 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows

11.02.2006 16:21 <DIR> .
11.02.2006 16:21 <DIR> ..
02.11.2005 10:00 171.520 AutoIt3.exe
08.02.2006 20:23 436.932 mc-110-12-0000228.exe
04.02.2004 14:06 45.136 psapi.dll
11.02.2006 16:21 27 request.html
31.07.2005 17:29 126.976 services32.exe
5 Datei(en) 780.591 Bytes
2 Verzeichnis(se), 69.183.348.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien

08.02.2006 21:22 <DIR> .
08.02.2006 21:22 <DIR> ..
17.12.2005 20:33 <DIR> Adobe
28.01.2006 21:39 <DIR> Ahead
28.01.2006 19:51 <DIR> DESIGNER
29.05.2004 20:29 <DIR> Dienste
06.03.2005 17:07 <DIR> Digi338
28.01.2006 22:27 <DIR> element5 Shared
08.02.2006 20:22 <DIR> InetGet
09.08.2005 19:27 <DIR> InstallShield
28.01.2006 19:56 <DIR> Microsoft Shared
29.05.2004 20:29 <DIR> MSSoap
17.12.2005 22:20 <DIR> NewSoft
29.05.2004 03:23 <DIR> ODBC
08.02.2006 20:34 <DIR> rzor
29.05.2004 03:23 <DIR> SpeechEngines
02.02.2006 18:30 <DIR> SWF Studio
05.02.2006 16:23 <DIR> Symantec Shared
28.01.2006 19:51 <DIR> System
11.02.2006 16:21 <DIR> Windows
10.02.2006 20:45 <DIR> WinFixer 2005
08.02.2006 21:22 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 69.183.344.640 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

28.01.2006 19:51 <DIR> .
28.01.2006 19:51 <DIR> ..
28.01.2006 19:51 <DIR> 1031
28.01.2006 19:51 <DIR> 1033
11.07.2003 02:15 1.292.872 MSONSEXT.DLL
14.07.2003 22:52 35.896 MSOSV.DLL
19.03.1999 21:46 127.032 MSOWS407.DLL
04.06.1999 14:09 122.937 MSOWS409.DLL
11.07.2003 02:25 80.448 PKMWS.DLL
5 Datei(en) 1.659.185 Bytes
4 Verzeichnis(se), 69.183.344.640 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\WINDOWS

12.02.2006 18:08 <DIR> .
12.02.2006 18:08 <DIR> ..
12.02.2006 18:10 0 0.log
24.04.2005 11:32 35 A5W.INI
24.04.2005 11:33 <DIR> A5W_DATA
20.06.2004 22:49 7.204 Active Setup Log.txt
29.05.2004 04:19 <DIR> addins
02.04.2003 13:00 17.336 Angler.bmp
21.11.2004 18:47 <DIR> AppPatch
03.04.2005 19:41 3.289 Ascd_tmp.ini
08.02.2006 20:22 12.344 azesearch.bmp
12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&220.xml
12.07.2004 20:03 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&315.xml
12.07.2004 20:01 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&382.xml
12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&383.xml
12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&940.xml
12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&531.xml
12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&561.xml
12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+MOTORRAD&628.xml
12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&421.xml
12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&593.xml
12.07.2004 19:58 2.286 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC+43&19.xml
12.07.2004 19:59 0 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC43&45.xml
02.04.2003 13:00 1.272 Blaue Spitzen 16.bmp
16.01.2003 14:11 2.148 ca533a.ini
02.01.2006 18:05 94 cdplayer.ini

24.08.2004 00:29 <DIR> Downloaded Installations
29.05.2004 04:19 <DIR> Driver Cache
08.02.2006 20:23 42 drsmartload2.dat
21.11.2004 18:50 360 DtcInstall.log
21.11.2004 18:22 <DIR> EHome
28.01.2006 16:12 <DIR> exefld
04.08.2004 08:57 1.035.264 explorer.exe
02.04.2003 13:00 80 explorer.scf
28.01.2006 17:18 493.082 FaxSetup.log
02.04.2003 13:00 16.730 Feder.bmp
17.12.2005 21:07 22 FLASHKSK.INI
02.04.2003 13:00 26.680 F„cher.bmp
10.02.2006 18:28 24.576 gimmygames.exe
08.02.2006 20:23 0 gimmygames1.dat
02.04.2003 13:00 26.582 Granit.bmp
11.02.2006 16:50 <DIR> Help
27.05.2005 00:22 10.752 hh.exe
11.02.2006 18:17 50.912 iconu.exe
17.05.2005 21:21 30 Iedit.INI
03.03.2003 15:25 34.304 ieuninst.exe
11.02.2006 20:05 77.679 iis6.log

28.01.2006 17:18 25.141 msgsocm.log
29.05.2004 04:19 <DIR> mui
18.06.2004 13:40 33.280 muninst.exe
08.02.2006 20:23 0 myupdates1.dat
04.08.2004 08:58 70.144 notepad.exe
08.02.2006 19:53 0 nsreg.dat
28.01.2006 17:18 108.122 ntdtcsetup.log
24.08.2004 17:05 <DIR> nview
28.01.2006 17:18 259.308 ocgen.log
28.01.2006 17:18 24.559 ocmsn.log
28.01.2006 19:53 400 ODBC.INI
29.05.2004 20:31 4.161 ODBCINST.INI
26.07.2003 00:36 34.304 oeuninst.exe
21.11.2004 18:56 1.174 OEWABLog.txt

02.04.2003 13:00 15.872 TASKMAN.EXE
09.02.2006 18:44 40 teller2.chk
12.02.2006 18:10 <DIR> Temp

03.01.2006 17:45 1.989 uninstall_nmon.vbs
08.02.2006 20:22 0 uniq
10.11.1999 12:05 86.016 unvise32qt.exe
28.01.2006 17:18 22.048 updspapi.log
07.08.2002 18:10 12.201 USB_533.ini
07.08.2002 18:10 12.201 USB_CAM.ini
29.05.2004 20:29 36 vb.ini
29.05.2004 20:29 37 vbaddin.ini
03.04.2005 19:42 <DIR> VirtualEar
02.04.2003 13:00 18.944 vmmreg32.dll
21.11.2004 18:29 <DIR> Web
12.02.2006 18:10 157 wiadebug.log
12.02.2006 18:10 50 wiaservc.log
11.02.2006 18:10 729 win.ini
25.06.2004 19:59 836 Windows Update.log
12.02.2006 18:10 1.790.468 WindowsUpdate.log
02.04.2003 13:00 257.568 winhelp.exe
04.08.2004 08:58 288.768 winhlp32.exe
30.06.2004 19:47 61 wininit.ini
21.11.2004 18:38 <DIR> WinSxS
09.02.2006 18:43 69.632 winsysban7.exe
08.02.2006 20:22 20.480 winsysupd6.exe
09.02.2006 18:43 0 winsysupd61.dat
09.02.2006 18:43 20.480 winsysupd7.exe
11.02.2006 16:01 0 winsysupd71.dat
02.04.2003 13:00 34.818 wmprfDEU.prx
11.02.2006 16:51 246.744 wmsetup.log
11.02.2006 16:51 236 wmsetup10.log
11.02.2006 16:49 316.640 WMSysPr9.prx
29.05.2004 20:31 299.552 WMSysPrx.prx
24.08.2004 00:28 8.171 xpsp1hfm.log
02.04.2003 13:00 9.522 Zapotek.bmp
02.04.2003 13:00 707 _default.pif
218 Datei(en) 16.013.771 Bytes
47 Verzeichnis(se), 69.183.315.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows

13.02.2006 19:37 <DIR> .
13.02.2006 19:37 <DIR> ..
04.02.2004 14:06 45.136 psapi.dll
1 Datei(en) 45.136 Bytes
2 Verzeichnis(se), 59.939.725.312 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.02.2006 19:37 <DIR> .
13.02.2006 19:37 <DIR> ..
17.12.2005 20:33 <DIR> Adobe
18.02.2006 00:40 <DIR> Ahead
28.01.2006 19:51 <DIR> DESIGNER
29.05.2004 20:29 <DIR> Dienste
06.03.2005 17:07 <DIR> Digi338
28.01.2006 22:27 <DIR> element5 Shared
09.08.2005 19:27 <DIR> InstallShield
28.01.2006 19:56 <DIR> Microsoft Shared
29.05.2004 20:29 <DIR> MSSoap
17.12.2005 22:20 <DIR> NewSoft
29.05.2004 03:23 <DIR> ODBC
08.02.2006 20:34 <DIR> rzor
29.05.2004 03:23 <DIR> SpeechEngines
02.02.2006 18:30 <DIR> SWF Studio
05.02.2006 16:23 <DIR> Symantec Shared
28.01.2006 19:51 <DIR> System
13.02.2006 19:37 <DIR> Windows
08.02.2006 21:22 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 59.939.725.312 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

28.01.2006 19:51 <DIR> .
28.01.2006 19:51 <DIR> ..
28.01.2006 19:51 <DIR> 1031
28.01.2006 19:51 <DIR> 1033
11.07.2003 02:15 1.292.872 MSONSEXT.DLL
14.07.2003 22:52 35.896 MSOSV.DLL
19.03.1999 21:46 127.032 MSOWS407.DLL
04.06.1999 14:09 122.937 MSOWS409.DLL
11.07.2003 02:25 80.448 PKMWS.DLL
5 Datei(en) 1.659.185 Bytes
4 Verzeichnis(se), 59.939.725.312 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.02.2006 19:37 <DIR> .
13.02.2006 19:37 <DIR> ..
17.12.2005 20:33 <DIR> Adobe
18.02.2006 00:40 <DIR> Ahead
28.01.2006 19:51 <DIR> DESIGNER
29.05.2004 20:29 <DIR> Dienste
06.03.2005 17:07 <DIR> Digi338
28.01.2006 22:27 <DIR> element5 Shared
09.08.2005 19:27 <DIR> InstallShield
28.01.2006 19:56 <DIR> Microsoft Shared
29.05.2004 20:29 <DIR> MSSoap
17.12.2005 22:20 <DIR> NewSoft
29.05.2004 03:23 <DIR> ODBC
08.02.2006 20:34 <DIR> rzor
29.05.2004 03:23 <DIR> SpeechEngines
02.02.2006 18:30 <DIR> SWF Studio
05.02.2006 16:23 <DIR> Symantec Shared
28.01.2006 19:51 <DIR> System
13.02.2006 19:37 <DIR> Windows
08.02.2006 21:22 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 59.939.721.216 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\WINDOWS\Q29yaW5hIEtpbms

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CC0-F040

Verzeichnis von C:\WINDOWS

18.02.2006 17:34 <DIR> .
18.02.2006 17:34 <DIR> ..
18.02.2006 17:26 0 0.log
24.04.2005 11:32 35 A5W.INI
24.04.2005 11:33 <DIR> A5W_DATA
20.06.2004 22:49 7.204 Active Setup Log.txt
29.05.2004 04:19 <DIR> addins
02.04.2003 13:00 17.336 Angler.bmp
15.02.2006 22:22 <DIR> AppPatch
03.04.2005 19:41 3.289 Ascd_tmp.ini
12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&220.xml
12.07.2004 20:03 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&315.xml
12.07.2004 20:01 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&382.xml
12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&383.xml
12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&940.xml
12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&531.xml
12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&561.xml
12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+MOTORRAD&628.xml
12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&421.xml
12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&593.xml
12.07.2004 19:58 2.286 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC+43&19.xml
12.07.2004 19:59 0 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC43&45.xml
02.04.2003 13:00 1.272 Blaue Spitzen 16.bmp
16.01.2003 14:11 2.148 ca533a.ini
02.01.2006 18:05 94 cdplayer.ini
02.04.2003 13:00 82.944 clock.avi
21.11.2004 18:39 200 cmsetacl.log
24.08.2004 00:32 1.450 COM+.log
15.02.2006 23:34 185.947 comsetup.log
29.05.2004 04:19 <DIR> Config
29.05.2004 04:19 <DIR> Connection Wizard
29.05.2004 20:31 0 control.ini
20.06.2004 22:49 <DIR> Cursors
23.08.2004 23:40 19.660 dahotfix.log

08.02.2006 19:53 0 nsreg.dat
15.02.2006 21:43 503.098 ntbtlog.txt
15.02.2006 23:34 113.182 ntdtcsetup.log
Seitenanfang Seitenende
18.02.2006, 21:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo,

loeschen:
C:\WINDOWS\winsysupd81.dat
C:\WINDOWS\myupdates1.dat
C:\WINDOWS\azesearch.bmp
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\uniq
C:\WINDOWS\exefld
C:\WINDOWS\teller2.chk
C:\WINDOWS\winsysban7.exe
C:\WINDOWS\winsysupd6.exe
C:\WINDOWS\winsysupd61.dat
C:\WINDOWS\winsysupd7.exe
C:\WINDOWS\winsysupd71.dat
C:\WINDOWS\gimmygames.exe
C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\nsreg.dat
C:\WINDOWS\iconu.exe

C:\DOKUME~1\Corina\LOKALE~1\Temp\tmp.xpi
C:\DOKUME~1\Corina\LOKALE~1\Temp\dat2.tmp

C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows
C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Gemeinsame Dateien\rzor
C:\Programme\Gemeinsame Dateien\WinFixer 2005

noch einmal Cleanup anwenden+ PC neustarten
http://virus-protect.org/cleanup.html

arbeite die bfu ab:
http://virus-protect.org/artikel/bfu/delf_bfu.html

scanne mit panda und kopiere den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2006, 20:07
Andidrums
...neu hier

Themenstarter

Beiträge: 8
#9 hallo!
hoffe das hier ist der richtige report. Die Dateien in Deiner Antwort hat er nicht alle gefunden, aber die die er gefunden hat haben wir gelöscht.



Incident Status Location

Adware:adware/maxifiles Not disinfected Windows Registry
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.apmebf.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[]
Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[en0sl1d71.dll]
Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[hpui.dll]
Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[ir0ol5d31.dll]
Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[jt4o07h3e.dll]
Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[lv2m09f1e.dll]
Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[mzvcp50.dll]
Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[TnnLib20.dll]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\Process.exe
Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\27439D3B-02FD-4740-A486-5586C5
Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\43B7302C-66E2-4423-9862-3AF8B6
Adware:Adware/SaveNow Not disinfected C:\RECYCLER\S-1-5-21-842925246-926492609-725345543-1003\Do29.exe
Adware:Adware/MediaTickets Not disinfected C:\WINDOWS\KS.EXE
Adware:Adware/MediaTickets
Seitenanfang Seitenende
25.02.2006, 00:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Andidrums

das sieht doch schon gut aus ;)

1.
leere den Papierkorb.

2
loesche mit der killbox:
C:\RECYCLER\S-1-5-21-842925246-926492609-725345543-1003\Do29.exe
C:\WINDOWS\KS.EXE

3.
loesche:
C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix

4.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

----------------------------------------------------------------------------------
( scanne noch mal mit Counterspy... nach dem Scann stelle alle Quarantaine auf
Remove

Zitat

*Ignore
*Remove
*Quarantaine

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2006, 15:50
Andidrums
...neu hier

Themenstarter

Beiträge: 8
#11 Hallo!!

Hier der report vom Panda-Scan! Hab Counterspy auch ausgeführt! Fand noch 2 Dateien, die ich dann gelöscht habe!



Incident Status Location

Adware:adware/maxifiles Not disinfected Windows Registry
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@as1.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.apmebf.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[]
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@as1.falkag[1].txt
Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\27439D3B-02FD-4740-A486-5586C5
Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\43B7302C-66E2-4423-9862-3AF8B6
Adware:Adware/MediaTickets Not disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNI7QDWF\mtu[1].exe[KS.EXE]
Seitenanfang Seitenende
26.02.2006, 18:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Andidrums

1.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

so wird hoffentlich geloescht:
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNI7QDWF

3.
PC neustarten

4.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2006, 14:45
Andidrums
...neu hier

Themenstarter

Beiträge: 8
#13 Hallo!

Hier die Log vom Hijackthis.

Gruß Andi


Logfile of HijackThis v1.99.1
Scan saved at 14:39:05, on 27.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Corina\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/vek/signup.pl?code=stcd01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
27.02.2006, 15:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Andidrums

deinstalliere Counterspy (ist nur zwei Wochen free)
Lade stattdessen Windows Defender (free)
http://virus-protect.org/ms.html
dann muesste wieder alles in Ordnung sein ... uff....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2006, 15:22
Andidrums
...neu hier

Themenstarter

Beiträge: 8
#15 Perfekt! Vielen Dank auch.
Bin sehr angetan von der Hilfsbereitschaft.

Zum Glück gibts es Leute, wie Dich!

Vielen Dank nochmal.

Gruß

Andi
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1