Win32.Nsag - AlfaCleaner.exe

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.02.2006, 17:55
Member

Beiträge: 30
#1 Win32/Nsag. Habe ebenfalls das Problem mit Win32/Nsag

Ich habe nicht so viel Ahnung vom Pc
, wenn mir viellicht einer helfen könnte? Ich wäre sehr dankbar.

Logfile of HijackThis v1.99.1
Scan saved at 14:20:14, on 16.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\Mixer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\sachostx.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\sachostc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\sachosts.exe
C:\Dokumente und Einstellungen\Patrick\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe

O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
viellicht hilft das, wenn ich es richtig gemacht habe?
__________
mfg
G O T T
Dieser Beitrag wurde am 16.02.2006 um 14:22 Uhr von G O T T editiert.
Seitenanfang Seitenende
16.02.2006, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 G O T T

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.02.2006, 17:26
Member

Themenstarter

Beiträge: 30
#3 02/16/06 17:17:37 [Info]: BlackLight Engine 1.0.30 initialized
02/16/06 17:17:37 [Info]: OS: 5.1 build 2600 (Service Pack 1)
02/16/06 17:17:37 [Note]: 7019 4
02/16/06 17:17:37 [Note]: 7005 0
02/16/06 17:17:39 [Note]: 7006 0
02/16/06 17:17:39 [Note]: 7011 3208
02/16/06 17:17:40 [Note]: FSRAW library version 1.7.1014
02/16/06 17:18:09 [Note]: 7007 0

-----------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.

Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\WINDOWS\system32

16.02.2006 17:21 7.400 sachosts.exe
16.02.2006 17:21 152.772 attrib.ini
16.02.2006 17:21 7.912 sachostc.exe
16.02.2006 17:21 0 hard.lck
16.02.2006 17:21 10.984 sachostp.exe
16.02.2006 17:21 5.120 msvcrl.dll
16.02.2006 15:56 5.864 sachostm.exe
16.02.2006 14:15 35.870 vsconfig.xml
14.02.2006 21:11 1 vx.tll
14.02.2006 21:04 4 winsub.xml
14.02.2006 21:04 64 svcp.csv
14.02.2006 21:04 37.376 msupdate32.dll

12.02.2006 21:26 176.167 rmoc3260.dll
12.02.2006 21:26 5.632 pndx5032.dll
12.02.2006 21:26 6.656 pndx5016.dll
12.02.2006 21:26 278.528 pncrt.dll
12.02.2006 20:58 2.206 wpa.dbl
05.02.2006 19:09 21.840 SIntfNT.dll
05.02.2006 19:09 17.212 SIntf32.dll
05.02.2006 19:09 12.067 SIntf16.dll
03.02.2006 17:03 4.212 zllictbl.dat
03.02.2006 17:01 348.160 msvcr71.dll
03.02.2006 17:01 499.712 msvcp71.dll
03.02.2006 16:53 311.604 perfh009.dat
03.02.2006 16:53 39.992 perfc009.dat
03.02.2006 16:53 316.594 perfh007.dat
03.02.2006 16:53 48.156 perfc007.dat
03.02.2006 16:53 723.744 PerfStringBackup.INI
03.02.2006 16:52 25.065 wmpscheme.xml
03.02.2006 16:47 90.296 FNTCACHE.DAT
03.02.2006 16:46 261 $winnt$.inf
03.02.2006 16:43 2.951 CONFIG.NT
03.02.2006 16:43 16.832 amcompat.tlb
03.02.2006 16:43 23.392 nscompat.tlb
03.02.2006 16:42 488 WindowsLogon.manifest
03.02.2006 16:42 488 logonui.exe.manifest
03.02.2006 16:42 749 cdplayer.exe.manifest
03.02.2006 16:42 749 nwc.cpl.manifest
03.02.2006 16:42 749 wuaucpl.cpl.manifest
03.02.2006 16:42 749 ncpa.cpl.manifest
03.02.2006 16:42 749 sapi.cpl.manifest
03.02.2006 16:40 21.740 emptyregdb.dat
03.02.2006 16:30 0 h323log.txt
25.01.2006 04:34 118.784 sirenacm.dll
08.12.2005 13:56 65.536 QuickTimeVR.qtx
08.12.2005 13:56 49.152 QuickTime.qts


------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\DOKUME~1\Patrick\LOKALE~1\Temp

16.02.2006 17:22 1 tmx9B.tmp
1 Datei(en) 1 Bytes
0 Verzeichnis(se), 11.820.523.520 Bytes frei

---------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\WINDOWS

16.02.2006 14:15 0 0.log
16.02.2006 14:15 2.048 bootstat.dat
15.02.2006 18:16 7.910 SchedLgU.Txt
15.02.2006 17:04 1.409 QTFont.for
15.02.2006 17:04 54.156 QTFont.qfn
15.02.2006 16:43 340.029 setupapi.log
15.02.2006 15:37 282 system.ini
14.02.2006 21:04 27.230 sachostx.exe
12.02.2006 21:28 25 cdplayer.ini
04.02.2006 19:08 21.750 DesertCombat Setup Log.txt
04.02.2006 19:04 729.088 iun6002.exe
04.02.2006 16:00 554 eReg.dat
04.02.2006 14:39 498 GEARInstall.log
03.02.2006 17:23 216 wiadebug.log
03.02.2006 17:19 50 wiaservc.log
03.02.2006 17:16 25 mixerdef.ini
03.02.2006 17:14 9.144 Windows Update.log
03.02.2006 16:58 1.799 xpsp1hfm.log
03.02.2006 16:58 5.466 KB823980.log
03.02.2006 16:57 9.117 ntdtcsetup.log
03.02.2006 16:57 53.470 iis6.log
03.02.2006 16:57 17.859 comsetup.log
03.02.2006 16:57 1.355 imsins.log
03.02.2006 16:57 13.014 tsoc.log
03.02.2006 16:57 1.626 tabletoc.log
03.02.2006 16:57 1.277 ocmsn.log
03.02.2006 16:57 1.177 msgsocm.log
03.02.2006 16:57 3.560 netfxocm.log
03.02.2006 16:57 18.590 ocgen.log
03.02.2006 16:57 17.720 FaxSetup.log
03.02.2006 16:56 11.646 msmqinst.log
03.02.2006 16:52 829 OEWABLog.txt
03.02.2006 16:51 740.160 setuplog.txt
03.02.2006 16:47 8.192 REGLOCS.OLD
03.02.2006 16:46 4.326 imsins.BAK
03.02.2006 16:46 190.928 setupact.log
03.02.2006 16:43 0 control.ini
03.02.2006 16:43 472 win.ini
03.02.2006 16:43 299.552 WMSysPrx.prx
03.02.2006 16:43 4.161 ODBCINST.INI
03.02.2006 16:42 749 WindowsShell.Manifest
03.02.2006 16:40 1.060 sessmgr.setup.log
03.02.2006 16:40 37 vbaddin.ini
03.02.2006 16:40 36 vb.ini
03.02.2006 16:40 128 DtcInstall.log
03.02.2006 16:29 1.920 regopt.log
03.02.2006 16:22 0 Sti_Trace.log
03.02.2006 16:19 0 setuperr.log
29.08.2002 02:43 271.872 winhlp32.exe
29.08.2002 02:43 141.312 regedit.exe
29.08.2002 02:43 10.752 hh.exe
29.08.2002 02:43 1.007.104 explorer.exe
12.07.2002 15:33 1.581.056 mixer.exe
11.07.2002 11:13 135.168 cmuninst.dat
11.07.2002 10:24 139.264 cmuninst.exe
04.09.2001 16:57 707 _default.pif
04.09.2001 16:57 9.522 Zapotek.bmp

--------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\

16.02.2006 17:27 0 sys.txt
16.02.2006 17:27 4.304 system.txt
16.02.2006 17:26 292 systemtemp.txt
16.02.2006 17:26 88.191 system32.txt
16.02.2006 14:15 402.165.760 hiberfil.sys
16.02.2006 14:15 603.979.776 pagefile.sys
15.02.2006 17:33 12.082.981 AVG7QT.DAT
03.02.2006 16:43 0 MSDOS.SYS
03.02.2006 16:43 0 IO.SYS
03.02.2006 16:43 0 CONFIG.SYS
03.02.2006 16:43 0 AUTOEXEC.BAT
03.02.2006 16:30 194 boot.ini
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
04.09.2001 16:55 4.952 bootfont.bin
15 Datei(en) 1.018.609.326 Bytes
0 Verzeichnis(se), 11.820.523.520 Bytes frei





OK, ich glaube, dass alles korekt ausgeführt wurde von mir. total unsicher!
__________
mfg
G O T T
Dieser Beitrag wurde am 16.02.2006 um 17:29 Uhr von G O T T editiert.
Seitenanfang Seitenende
16.02.2006, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 G O T T

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\System32\kernels64.exe
C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\sachostm.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\msupdate32.dll
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\winstall.exe
C:\WINDOWS\iun6002.exe

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

loesche:
C:\WINDOWS\inet20004

SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)
* öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\WINDOWS">> files.txt
dir "C:\WINDOWS\System32">> files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.02.2006, 15:54
Member

Themenstarter

Beiträge: 30
#5 Eine kleine frage, ich gehe in den abgesicherten modus, dann passiert aber nichts mehr?? Ich komme nicht ganz draus wie das gemeint ist? und erkläre mir das bitte noch genauer -->





Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat:
cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\WINDOWS">> files.txt
dir "C:\WINDOWS\System32">> files.txt
notepad files.txt

Sorry, die letzten zwei abschnitte blicke ich nicht mehr durch...
hehe
__________
mfg
G O T T
Seitenanfang Seitenende
17.02.2006, 16:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 gehe in den abgesicherten Modus - Taste F8 drücken, während der Computer hochfährt
http://www.tu-berlin.de/www/software/virus/savemode.shtml

was soll ich noch schreiben....es ist doch alles genau erklaert !!!

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint hier


cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\WINDOWS">> files.txt
dir "C:\WINDOWS\System32">> files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.02.2006, 16:26
Member

Themenstarter

Beiträge: 30
#7 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

03.02.2006 16:52 <DIR> .
03.02.2006 16:52 <DIR> ..
19.05.2001 08:57 561.209 MSONSEXT.DLL
19.03.1999 22:46 127.032 MSOWS407.DLL
04.06.1999 15:09 122.937 MSOWS409.DLL
3 Datei(en) 811.178 Bytes
2 Verzeichnis(se), 11.035.635.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\Programme\Gemeinsame Dateien

12.02.2006 21:26 <DIR> .
12.02.2006 21:26 <DIR> ..
03.02.2006 16:41 <DIR> Dienste
04.02.2006 14:38 <DIR> InstallShield
03.02.2006 16:52 <DIR> Microsoft Shared
03.02.2006 16:41 <DIR> MSSoap
03.02.2006 16:19 <DIR> ODBC
12.02.2006 21:26 <DIR> Real
03.02.2006 16:19 <DIR> SpeechEngines
03.02.2006 16:41 <DIR> System
12.02.2006 21:26 <DIR> xing shared
0 Datei(en) 0 Bytes
11 Verzeichnis(se), 11.035.631.616 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\WINDOWS

17.02.2006 16:09 <DIR> .
17.02.2006 16:09 <DIR> ..
17.02.2006 16:18 0 0.log
03.02.2006 17:14 <DIR> addins
04.09.2001 16:55 17.336 Angler.bmp
03.02.2006 17:17 <DIR> AppPatch
04.09.2001 16:55 1.272 Blaue Spitzen 16.bmp
12.02.2006 21:28 25 cdplayer.ini
04.09.2001 16:55 82.944 clock.avi
11.07.2002 11:13 135.168 cmuninst.dat
11.07.2002 10:24 139.264 cmuninst.exe
03.02.2006 16:57 17.859 comsetup.log
03.02.2006 17:14 <DIR> Config
03.02.2006 17:14 <DIR> Connection Wizard
03.02.2006 16:43 0 control.ini
03.02.2006 16:39 <DIR> Cursors
17.02.2006 16:18 <DIR> Debug
04.02.2006 19:08 21.750 DesertCombat Setup Log.txt
04.09.2001 16:56 2 desktop.ini
04.02.2006 14:38 <DIR> Downloaded Installations
03.02.2006 16:40 128 DtcInstall.log
04.02.2006 16:00 554 eReg.dat
29.08.2002 02:43 1.007.104 explorer.exe
04.09.2001 16:55 80 explorer.scf
03.02.2006 16:57 17.720 FaxSetup.log
04.09.2001 16:55 16.730 Feder.bmp
04.09.2001 16:56 26.680 F„cher.bmp
04.02.2006 14:39 498 GEARInstall.log
04.09.2001 16:55 26.582 Granit.bmp
12.02.2006 21:29 <DIR> Help
29.08.2002 02:43 10.752 hh.exe
03.02.2006 16:57 53.470 iis6.log
03.02.2006 16:44 <DIR> ime
03.02.2006 16:46 4.326 imsins.BAK
03.02.2006 16:57 1.355 imsins.log
17.02.2006 15:49 <DIR> Internet Logs
03.02.2006 16:43 <DIR> java
04.09.2001 16:55 17.062 Kaffeetasse.bmp
03.02.2006 16:58 5.466 KB823980.log
03.02.2006 17:16 <DIR> Media
12.07.2002 15:33 1.581.056 mixer.exe
03.02.2006 17:16 25 mixerdef.ini
03.02.2006 17:15 <DIR> msagent
03.02.2006 17:14 <DIR> msapps
04.09.2001 16:56 1.405 msdfmap.ini
03.02.2006 16:57 1.177 msgsocm.log
03.02.2006 16:56 11.646 msmqinst.log
03.02.2006 17:14 <DIR> mui
03.02.2006 16:57 3.560 netfxocm.log
04.09.2001 16:56 67.072 NOTEPAD.EXE
17.02.2006 16:14 101.660 ntbtlog.txt
03.02.2006 16:57 9.117 ntdtcsetup.log
03.02.2006 16:57 18.590 ocgen.log
03.02.2006 16:57 1.277 ocmsn.log
03.02.2006 16:43 4.161 ODBCINST.INI
03.02.2006 16:52 829 OEWABLog.txt
03.02.2006 16:42 <DIR> Offline Web Pages
03.02.2006 16:41 <DIR> PCHealth
17.02.2006 16:20 <DIR> Prefetch
04.09.2001 16:56 65.954 Pr„riewind.bmp
15.02.2006 17:04 1.409 QTFont.for
29.08.2002 02:43 141.312 regedit.exe
03.02.2006 16:43 <DIR> Registration
03.02.2006 16:47 8.192 REGLOCS.OLD
03.02.2006 16:29 1.920 regopt.log
03.02.2006 16:44 <DIR> repair
03.02.2006 17:14 <DIR> Resources
04.09.2001 16:56 17.362 Rhododendron.bmp
04.09.2001 16:56 65.832 Santa Fe-Stuck.bmp
17.02.2006 16:06 9.206 SchedLgU.Txt
03.02.2006 16:44 <DIR> security
04.09.2001 16:55 65.978 Seifenblase.bmp
03.02.2006 16:40 1.060 sessmgr.setup.log
03.02.2006 16:46 190.928 setupact.log
15.02.2006 16:43 340.029 setupapi.log
03.02.2006 16:19 0 setuperr.log
03.02.2006 16:51 740.160 setuplog.txt
03.02.2006 16:42 <DIR> srchasst
03.02.2006 16:22 0 Sti_Trace.log
03.02.2006 17:14 <DIR> system
15.02.2006 15:37 282 system.ini
17.02.2006 13:41 <DIR> system32
03.02.2006 16:57 1.626 tabletoc.log
04.09.2001 16:56 15.872 TASKMAN.EXE
17.02.2006 16:18 <DIR> Temp
03.02.2006 16:57 13.014 tsoc.log
04.09.2001 16:57 94.800 twain.dll
03.02.2006 17:16 <DIR> twain_32
04.09.2001 16:57 46.592 twain_32.dll
04.09.2001 16:57 49.680 twunk_16.exe
04.09.2001 16:57 25.600 twunk_32.exe
03.02.2006 16:40 36 vb.ini
03.02.2006 16:40 37 vbaddin.ini
04.09.2001 16:57 18.944 vmmreg32.dll
03.02.2006 16:42 <DIR> Web
03.02.2006 17:23 216 wiadebug.log
03.02.2006 17:19 50 wiaservc.log
03.02.2006 16:43 472 win.ini
03.02.2006 17:14 9.144 Windows Update.log
04.09.2001 16:57 257.568 winhelp.exe
29.08.2002 02:43 271.872 winhlp32.exe
03.02.2006 16:19 <DIR> WinSxS
04.09.2001 16:57 34.818 wmprfDEU.prx
03.02.2006 16:43 299.552 WMSysPrx.prx
03.02.2006 16:58 1.799 xpsp1hfm.log
04.09.2001 16:57 9.522 Zapotek.bmp
04.09.2001 16:57 707 _default.pif
76 Datei(en) 6.207.247 Bytes
31 Verzeichnis(se), 11.035.627.520 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0E5-FF3C

Verzeichnis von C:\WINDOWS\System32

17.02.2006 13:41 <DIR> .
17.02.2006 13:41 <DIR> ..
03.02.2006 16:46 261 $winnt$.inf
03.02.2006 17:14 <DIR> 1025
03.02.2006 17:14 <DIR> 1028
03.02.2006 17:16 <DIR> 1031
03.02.2006 17:15 <DIR> 1033
03.02.2006 17:14 <DIR> 1037
03.02.2006 17:14 <DIR> 1041
03.02.2006 17:14 <DIR> 1042
03.02.2006 17:14 <DIR> 1054
04.09.2001 16:55 2.151 12520437.cpx
04.09.2001 16:55 2.233 12520850.cpx
03.02.2006 17:14 <DIR> 2052
03.02.2006 17:14 <DIR> 3076
03.02.2006 17:14 <DIR> 3com_dmi
29.08.2002 02:43 59.392 6to4svc.dll
23.11.2001 11:08 712.704 a3d.dll
04.09.2001 16:55 26.624 aaaamon.dll
04.09.2001 16:55 68.096 access.cpl
04.09.2001 16:55 70.144 acctres.dll

03.02.2006 16:43 16.832 amcompat.tlb

03.02.2006 16:58 <DIR> CatRoot
17.02.2006 16:05 <DIR> CatRoot2

03.02.2006 16:40 <DIR> Com

03.02.2006 16:47 <DIR> config

03.02.2006 17:14 <DIR> dhcp
29.08.2002 02:43 100.352 dhcpcsvc.dll

03.02.2006 16:41 <DIR> DirectX

15.02.2006 14:32 <DIR> drivers

03.02.2006 16:40 21.740 emptyregdb.dat
29.08.2002 02:43 12.288 encapi.dll

03.02.2006 17:14 <DIR> export

03.02.2006 16:47 90.296 FNTCACHE.DAT

03.02.2006 16:43 <DIR> ias

03.02.2006 17:16 <DIR> icsxml

03.02.2006 17:14 <DIR> IME

03.02.2006 17:14 <DIR> inetsrv

03.02.2006 16:41 <DIR> Macromed

03.02.2006 16:40 <DIR> MsDtc

03.02.2006 17:01 499.712 msvcp71.dll
03.02.2006 17:01 348.160 msvcr71.dll

03.02.2006 17:14 <DIR> mui

03.02.2006 17:17 <DIR> npp
29.08.2002 02:43 49.664 npptools.dll
03.02.2006 16:43 23.392 nscompat.tlb
04.09.2001 16:56 75.776 nslookup.exe
04.09.2001 16:56 1.164.288 ntbackup.exe

03.02.2006 16:41 <DIR> oobe
04.09.2001 16:56 64.512 openfiles.exe

03.02.2006 16:53 48.156 perfc007.dat
03.02.2006 16:53 39.992 perfc009.dat

12.02.2006 21:26 278.528 pncrt.dll
12.02.2006 21:26 6.656 pndx5016.dll
12.02.2006 21:26 5.632 pndx5032.dll
__________
mfg
G O T T
Seitenanfang Seitenende
17.02.2006, 16:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 hat der platz nicht gereicht ? Dann poste nun den Rest

+

scanne mit ewido und kopiere hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.02.2006, 17:17
Member

Themenstarter

Beiträge: 30
#9 oo pardon, dachte hatte alles paltz, verdammt...

---------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:18:26, 17.02.2006
+ Report-Checksumme: C8AEA86A

+ Scanergebnis:

HKLM\SOFTWARE\Classes\Replace.HBO -> Adware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Replace.HBO\CLSID -> Adware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Replace.HBO\CurVer -> Adware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Replace.HBO.1 -> Adware.CoolWebSearch : Gesäubert mit Backup
HKU\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Internet Explorer\Keywords -> Adware.CoolWebSearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Patrick\Cookies\patrick@doubleclick[2].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup


::Report Ende


----------------------------------------------------------------------
__________
mfg
G O T T
Seitenanfang Seitenende
18.02.2006, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2006, 12:41
Member

Themenstarter

Beiträge: 30
#11 02/18/06 12:19:34 [Info]: BlackLight Engine 1.0.30 initialized
02/18/06 12:19:34 [Info]: OS: 5.1 build 2600 (Service Pack 1)
02/18/06 12:19:35 [Note]: 7019 4
02/18/06 12:19:35 [Note]: 7005 0
02/18/06 12:19:36 [Note]: 7006 0
02/18/06 12:19:36 [Note]: 7011 1296
02/18/06 12:19:36 [Note]: FSRAW library version 1.7.1014
02/18/06 12:20:48 [Note]: 7007 0

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, February 18, 2006 12:42:58 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 18/02/2006
Kaspersky Anti-Virus database records: 166489
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\Patrick\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 8966
Number of viruses found: 2
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 00:08:00

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\oleext.dll Infected: Trojan.Win32.Small.ev skipped
C:\WINDOWS\system32\wininet.dll Infected: Virus.Win32.Nsag.b skipped

Scan process completed.
__________
mfg
G O T T
Dieser Beitrag wurde am 18.02.2006 um 12:45 Uhr von G O T T editiert.
Seitenanfang Seitenende
18.02.2006, 15:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)
* öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

dann poste hier die txt-Datei vom scann !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2006, 16:02
Member

Themenstarter

Beiträge: 30
#13 (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

(HKLM) {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader => %SystemRoot%\System32\browseui.dll

(HKLM) {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon => %SystemRoot%\System32\browseui.

Der Bildschirm wird bei mir aber nicht blau. und er fagt mich immer ob ich ungefähr 10 15 dateien soll übeschreiben.
__________
mfg
G O T T
Seitenanfang Seitenende
18.02.2006, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 lasse die Dateien ueberschreiben , wenn es das Tool verlangt ....
dann lasse zu Ende scannen und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2006, 16:27
Member

Themenstarter

Beiträge: 30
#15 Ich bin einfach zu blöd, wie Scannt man das? niergends steht scann!
__________
mfg
G O T T
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: