Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
22.03.2006, 12:36
...neu hier
Beiträge: 7 |
||
|
||
22.03.2006, 13:01
Ehrenmitglied
Beiträge: 29434 |
#32
geeho
Zitat C:\Programme Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\??crosoft*.*" > c:\find.txt & start notepad c:\find.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2006, 13:06
...neu hier
Beiträge: 7 |
#33
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21 Verzeichnis von c:\Dokumente und Einstellungen\All Users\Anwendungsdaten 14.03.2006 23:59 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme 28.02.2006 01:25 2.469 Microsoft Access.lnk 14.12.2004 10:25 2.088 Microsoft Excel.lnk 14.12.2004 10:25 2.074 Microsoft FrontPage.lnk 19.08.2004 14:29 <DIR> Microsoft Office 14.12.2004 10:25 <DIR> Microsoft Office Tools 14.12.2004 10:25 2.148 Microsoft Outlook.lnk 14.12.2004 10:25 2.080 Microsoft PowerPoint.lnk 14.12.2004 10:25 2.050 Microsoft Word.lnk 6 Datei(en) 12.909 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme\Microsoft Office 30.09.2005 15:55 2.447 Microsoft Office OneNote 2003.lnk 19.08.2004 14:29 <DIR> Microsoft Office Tools 1 Datei(en) 2.447 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme\Microsoft Office\Microsoft Office Tools 19.08.2004 14:29 1.980 Microsoft Office 2003 Assistent zum Speichern eigener Einstellungen.lnk 19.08.2004 14:29 1.912 Microsoft Office 2003 Spracheinstellungen.lnk 19.08.2004 14:29 1.890 Microsoft Office Anwendungswiederherstellung.lnk 3 Datei(en) 5.782 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme\Microsoft Office Tools 14.12.2004 10:25 2.012 Microsoft Access Snapshot Viewer.lnk 14.12.2004 10:25 2.044 Microsoft Clip Organizer.lnk 14.12.2004 10:25 2.210 Microsoft Office Document Imaging.lnk 14.12.2004 10:25 2.190 Microsoft Office Document Scanning.lnk 14.12.2004 10:25 1.866 Microsoft Office Problem-Manager.lnk 14.12.2004 10:25 1.912 Microsoft Office XP-Spracheinstellungen.lnk 6 Datei(en) 12.234 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme\Spiele 07.06.2005 21:58 <DIR> Microsoft Games 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme\Verwaltung 19.08.2004 11:13 1.107 Microsoft .NET Framework 1.1 Configuration.lnk 19.08.2004 11:13 1.158 Microsoft .NET Framework 1.1 Wizards.lnk 19.08.2004 11:13 1.262 Microsoft .NET Framework 1.1-Assistenten.lnk 19.08.2004 11:13 1.137 Microsoft .NET Framework 1.1-Konfiguration.lnk 4 Datei(en) 4.664 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme\Zubeh”r 19.08.2004 11:11 <DIR> Microsoft Interaktives Training 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen\Programme\Zubeh”r\Microsoft Interaktives Training 19.08.2004 11:11 896 Microsoft Interaktives Training.lnk 1 Datei(en) 896 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Default User\Anwendungsdaten 19.08.2004 12:51 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten 23.08.2004 05:43 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Anwendungsdaten 21.03.2006 18:21 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch 21.03.2006 01:08 2.611 Microsoft Outlook.lnk 1 Datei(en) 2.611 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Application Data 14.12.2004 16:48 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Desktop 24.02.2006 14:25 2.523 Microsoft Excel.lnk 13.01.2006 05:30 2.519 Microsoft FrontPage.lnk 01.03.2005 19:05 2.435 Microsoft OneNote.lnk 22.03.2006 11:07 2.593 Microsoft Outlook.lnk 27.02.2006 12:06 2.495 Microsoft Word.lnk 5 Datei(en) 12.565 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Lokale Einstellungen\Anwendungsdaten 21.03.2006 14:07 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Startmen\Programme 19.01.2006 14:08 994 Microsoft Outlook.lnk 1 Datei(en) 994 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Startmen\Programme\Autostart 15.12.2004 00:09 849 Microsoft Office OneNote 2003 Schnellstart.lnk 1 Datei(en) 849 Bytes Verzeichnis von c:\Dokumente und Einstellungen\LocalService\Anwendungsdaten 19.08.2004 11:09 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten 19.08.2004 11:09 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten 19.08.2004 11:09 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten 19.08.2004 11:09 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Programme 19.08.2004 11:06 <DIR> microsoft frontpage 07.06.2005 21:44 <DIR> Microsoft Games 14.12.2004 10:24 <DIR> Microsoft Office 14.12.2004 10:06 <DIR> Microsoft Works 19.08.2004 14:28 <DIR> Microsoft.NET 14.03.2006 17:01 <DIR> ??crosoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Programme\Gemeinsame Dateien 14.12.2004 10:25 <DIR> Microsoft Shared 0 Datei(en) 0 Bytes Verzeichnis von c:\Programme\Gemeinsame Dateien\SpeechEngines 19.08.2004 11:57 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\Programme\Microsoft Office\Office10\Shortcut Bar\Office 14.12.2004 10:25 1.868 Microsoft Access.lnk 14.12.2004 10:25 1.864 Microsoft Excel.lnk 14.12.2004 10:25 1.866 Microsoft FrontPage.lnk 14.12.2004 10:25 1.868 Microsoft Outlook.lnk 14.12.2004 10:25 1.872 Microsoft PowerPoint.lnk 14.12.2004 10:25 1.864 Microsoft Word.lnk 6 Datei(en) 11.202 Bytes Verzeichnis von c:\WINDOWS 19.08.2004 11:12 <DIR> Microsoft.NET 0 Datei(en) 0 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC 19.08.2004 11:13 <DIR> Microsoft.JScript 19.08.2004 11:13 <DIR> Microsoft.JScript.resources 19.08.2004 14:29 <DIR> Microsoft.Vbe.Interop 19.08.2004 11:13 <DIR> Microsoft.VisualBasic 19.08.2004 11:13 <DIR> Microsoft.VisualBasic.resources 19.08.2004 11:13 <DIR> Microsoft.VisualBasic.Vsa 19.08.2004 11:13 <DIR> Microsoft.VisualC 19.08.2004 11:13 <DIR> Microsoft.Vsa 19.08.2004 11:13 <DIR> Microsoft.Vsa.Vb.CodeDOMProcessor 19.08.2004 11:13 <DIR> Microsoft_VsaVb 0 Datei(en) 0 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.JScript\7.0.5000.0__b03f5f7f11d50a3a 19.08.2004 11:12 716.800 Microsoft.JScript.dll 1 Datei(en) 716.800 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.JScript.resources\7.0.5000.0_de_b03f5f7f11d50a3a 19.08.2004 11:13 45.056 Microsoft.Jscript.Resources.dll 1 Datei(en) 45.056 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.Vbe.Interop\11.0.0.0__71e9bce111e9429c 19.08.2004 14:29 64.088 Microsoft.Vbe.Interop.dll 1 Datei(en) 64.088 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualBasic\7.0.5000.0__b03f5f7f11d50a3a 19.08.2004 11:12 299.008 Microsoft.VisualBasic.dll 1 Datei(en) 299.008 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.resources\7.0.5000.0_de_b03f5f7f11d50a3a 19.08.2004 11:13 36.864 Microsoft.VisualBasic.Resources.dll 1 Datei(en) 36.864 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.Vsa\7.0.5000.0__b03f5f7f11d50a3a 19.08.2004 11:12 28.672 Microsoft.VisualBasic.Vsa.dll 1 Datei(en) 28.672 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualC\7.0.5000.0__b03f5f7f11d50a3a 19.08.2004 11:12 6.144 Microsoft.VisualC.dll 1 Datei(en) 6.144 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.Vsa\7.0.5000.0__b03f5f7f11d50a3a 19.08.2004 11:12 32.768 Microsoft.Vsa.dll 1 Datei(en) 32.768 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.Vsa.Vb.CodeDOMProcessor\7.0.5000.0__b03f5f7f11d50a3a 19.08.2004 11:12 11.264 Microsoft.Vsa.Vb.CodeDOMProcessor.dll 1 Datei(en) 11.264 Bytes Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft_VsaVb\7.0.5000.0__b03f5f7f11d50a3a 19.08.2004 11:12 6.656 Microsoft_VsaVb.dll 1 Datei(en) 6.656 Bytes Verzeichnis von c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322 21.02.2003 06:26 716.800 Microsoft.JScript.dll 21.02.2003 00:25 49.152 Microsoft.JScript.tlb 21.02.2003 06:26 299.008 Microsoft.VisualBasic.dll 21.02.2003 06:24 28.672 Microsoft.VisualBasic.Vsa.dll 21.02.2003 06:25 6.144 Microsoft.VisualC.Dll 21.02.2003 06:24 32.768 Microsoft.Vsa.dll 21.02.2003 00:44 22.528 Microsoft.Vsa.tlb 21.02.2003 06:25 11.264 Microsoft.Vsa.Vb.CodeDOMProcessor.dll 21.02.2003 04:03 6.144 Microsoft.Vsa.Vb.CodeDOMProcessor.tlb 21.02.2003 06:25 6.656 Microsoft_VsaVb.dll 10 Datei(en) 1.179.136 Bytes Verzeichnis von c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\DE 24.02.2003 20:11 45.056 Microsoft.JScript.Resources.dll 24.02.2003 20:11 36.864 Microsoft.VisualBasic.resources.dll 2 Datei(en) 81.920 Bytes Verzeichnis von c:\WINDOWS\system32 19.08.2004 11:09 <DIR> Microsoft 14.03.2006 17:00 <DIR> ??crosoft 0 Datei(en) 0 Bytes Verzeichnis von c:\WINDOWS\system32\config\systemprofile\Anwendungsdaten 19.08.2004 12:51 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten 23.08.2004 05:43 <DIR> Microsoft 0 Datei(en) 0 Bytes Verzeichnis von c:\WINDOWS\system32\??crosoft 14.03.2006 17:01 <DIR> ??crosoft 0 Datei(en) 0 Bytes Anzahl der angezeigten Dateien: 57 Datei(en) 2.575.529 Bytes 39 Verzeichnis(se), 12.464.599.040 Bytes frei mfg geeho |
|
|
||
22.03.2006, 13:24
Ehrenmitglied
Beiträge: 29434 |
#34
1.
c:\Programme\Microsoft --> loeschen (vom 14.03.2006 17:01) Zitat 19.08.2004 11:06 <DIR> microsoft frontpage2. Zitat & # 9 2 4; & #1 1 1 0 ; c r o s o f t --> mit Leerstellen -- ??crosoftC:\WINDOWS\system32\Μіcrosoft\logonui.exe c:\WINDOWS\system32\Microsoft --> loeschen bitte passe auf, dass du nur die Datei vom 14.03.2006 17:01 loeschst..keine andere !!! Zitat Verzeichnis von c:\WINDOWS\system32\??crosoft __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2006, 13:32
...neu hier
Beiträge: 7 |
#35
ok sind gelöscht!
hatte sie erst vergeblich gesucht, da sie nicht alphabetisch sortiert waren, sucht man aber nach dem datum findet man sie schneller! wars das? oder muss ich noch was beachten? Greez! geeho |
|
|
||
22.03.2006, 13:34
Ehrenmitglied
Beiträge: 29434 |
#36
wenn du die zwei Dateien gefunden/geloescht hast, dann sollte wieder alles in Ordnung sein
und danke, ich konnte mit deiner Hilfe eine neue Anleitung erstellen http://virus-protect.org/artikel/spyware/spyfalcon_purityscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2006, 13:38
...neu hier
Beiträge: 7 |
#37
@ Sabina
Du hast einen neuen FAN :-D Glaube es wird Zeit einen Fanclub zu gründen :-) Verbindlichsten Dank für die Unterstützung und die prompte und kompetente Hilfe! |
|
|
||
08.07.2006, 02:54
...neu hier
Beiträge: 7 |
#38
Hallo!
Auch ich habe das Problem mit diesem Trojaner. DArum bitte ich jetzt hier um Hilfe. Ich habe schonmal nen Scan mit HijackThis durchgeführt. Logfile of HijackThis v1.99.1 Scan saved at 02:34:50, on 08.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\WINDOWS\Explorer.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Sophos\Remote Update\cachemgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\VMware\VMware Server\vmware-authd.exe C:\Programme\VMware\VMware Server\vmserverdWin32.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Sophos\Remote Update\imonitor.exe C:\Programme\X-Chat 2\xchat.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Sophos SWEEP for NT\WSWEEPNT.EXE C:\Temp\Rar$EX04.344\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O4 - Global Startup: X-Chat 2.lnk = C:\Programme\X-Chat 2\xchat.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{ED070AC7-5636-4C81-9295-D129E7B62492}: NameServer = 134.106.40.3,134.106.49.2 O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - C:\PROGRA~1\Serv-U\ServUDaemon.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmserverdWin32.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe Auch die datfindbat hab ich ausgeführt (da ich mir sicher bin, dass ich das Problem erst seit kurzem habe, poste ich nur die neusten einträge): system.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\WINDOWS 08.07.2006 01:19 2.154 ModemLog_Bluetooth LAP Modem.txt 08.07.2006 01:19 2.154 ModemLog_Bluetooth LAP Modem #2.txt 08.07.2006 01:19 1.313.588 WindowsUpdate.log 08.07.2006 01:19 2.048 bootstat.dat 08.07.2006 01:18 10.926 SchedLgU.Txt 08.07.2006 00:56 227 system.ini 08.07.2006 00:56 1.199 win.ini 07.07.2006 14:55 819.404 setupapi.log 07.07.2006 12:57 1.100 IE4 Error Log.txt 04.07.2006 16:44 26.980 Directx.log 161 Datei(en) 49.704.828 Bytes 0 Verzeichnis(se), 21.040.709.632 Bytes frei systemp.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\TEMP 08.07.2006 01:41 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13588.html 08.07.2006 01:36 16.384 ~DFEB07.tmp 08.07.2006 01:20 16.384 ~DF2180.tmp 08.07.2006 01:20 512 ~DFEB31.tmp 08.07.2006 01:20 16.384 ~DFEB16.tmp 08.07.2006 01:14 16.384 ~DF811E.tmp 08.07.2006 01:03 16.384 ~DF5444.tmp 08.07.2006 01:03 16.384 ~DF464A.tmp 8 Datei(en) 99.799 Bytes 0 Verzeichnis(se), 21.040.730.112 Bytes frei system32.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\WINDOWS\system32 08.07.2006 01:41 625.138 qtutv.ini 08.07.2006 01:35 39.437 qomkiig.dll 08.07.2006 01:35 72.720 regperf.exe 08.07.2006 01:19 43.586 nvapps.xml 08.07.2006 00:47 0 stdole3.tlb 07.07.2006 04:00 624.404 qtutv.bak1 06.07.2006 16:00 569.396 vtutq.dll 04.07.2006 15:35 39.437 ssqpopp.dll 04.07.2006 15:35 18.432 winhab32.dll 01.07.2006 02:04 2.206 wpa.dbl 2212 Datei(en) 427.234.054 Bytes 0 Verzeichnis(se), 21.040.721.920 Bytes frei Hoffe ihr könnt mir auch helfen. Vielen Dank im Voraus! |
|
|
||
08.07.2006, 11:36
Ehrenmitglied
Beiträge: 29434 |
#39
sp00ky
du bist auf den WinAntiVirus Pro 2006 reingefallen http://virus-protect.org/artikel/spyware/winantivirus_%20pro_%202006.html er zerschiesst dein System................und bringt die Viren und Trojaner mit, die er dann, wenn du bezahlst !!! angeblich wieder entfernt (was natuerlich nicht passiert) 1. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WinAntiVirus Pro 2006 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) FWSvc in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ------------------------------------------------------------------------------------- 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.07.2006, 14:17
...neu hier
Beiträge: 7 |
#40
Ich befürchte, das ist nicht das einzige Problem. Kann zudem die Suche mit regsearch nicht durchführen. Das Programm stürzt jedesmal ab. Hier aber das Ergebnis der listen.bat:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\WINDOWS\Downloaded Program Files 14.10.1997 19:52 697 DirectAnimation Java Classes.osd 20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd 02.12.2005 12:55 5.101 swflash.inf 30.12.2005 10:49 72.704 UWA6PU_0001_N62M3012NetInstaller.exe 4 Datei(en) 79.664 Bytes 0 Verzeichnis(se), 20.992.946.176 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\Programme\Common Files 08.07.2006 01:53 <DIR> . 08.07.2006 01:53 <DIR> .. 08.07.2006 01:53 <DIR> Companion Wizard 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 20.992.942.080 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\Programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\Programme\Gemeinsame Dateien Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\WINDOWS\Temp 08.07.2006 14:00 <DIR> . 08.07.2006 14:00 <DIR> .. 01.06.2006 18:55 155.648 OA.exe 08.07.2006 01:19 16.384 Perflib_Perfdata_2dc.dat 08.07.2006 00:58 16.384 Perflib_Perfdata_478.dat 08.07.2006 10:29 16.384 Perflib_Perfdata_4ac.dat 22.09.1998 08:00 1.723 README.TXT 08.07.2006 11:50 43 removalfile.bat 08.07.2006 10:29 451.447 vminst.log 08.07.2006 10:28 19.550 vmware-serverd-0.log 08.07.2006 01:18 19.551 vmware-serverd-1.log 08.07.2006 00:57 19.433 vmware-serverd-2.log 08.07.2006 00:49 19.550 vmware-serverd-3.log 06.07.2006 15:53 19.550 vmware-serverd-4.log 30.06.2006 15:35 19.549 vmware-serverd-5.log 25.06.2006 12:51 20.187 vmware-serverd-6.log 18.06.2006 13:45 19.549 vmware-serverd-7.log 18.06.2006 13:29 19.390 vmware-serverd-8.log 16.06.2006 22:24 19.550 vmware-serverd-9.log 08.07.2006 10:35 19.114 vmware-serverd.log 08.07.2006 00:54 0 win1.tmp 08.07.2006 01:14 0 win10.tmp 08.07.2006 01:14 0 win11.tmp 08.07.2006 01:16 0 win12.tmp 08.07.2006 01:17 0 win13.tmp 08.07.2006 01:35 0 win14.tmp 08.07.2006 10:31 0 win15.tmp 08.07.2006 01:35 0 win16.tmp 08.07.2006 10:31 0 win17.tmp 08.07.2006 01:35 183.880 win17.tmp.exe 08.07.2006 01:35 0 win18.tmp 08.07.2006 01:35 0 win19.tmp 08.07.2006 10:31 0 win1A.tmp 08.07.2006 01:35 0 win1B.tmp 08.07.2006 01:35 0 win1C.tmp 08.07.2006 01:35 0 win1D.tmp 08.07.2006 01:35 0 win1E.tmp 08.07.2006 01:35 0 win1F.tmp 08.07.2006 00:56 0 win2.tmp 08.07.2006 10:33 0 win20.tmp 08.07.2006 01:37 915 win21.tmp 08.07.2006 01:37 0 win22.tmp 08.07.2006 10:33 0 win23.tmp 08.07.2006 10:33 0 win24.tmp 08.07.2006 10:35 0 win25.tmp 08.07.2006 10:37 0 win26.tmp 08.07.2006 01:49 915 win2C.tmp 08.07.2006 01:49 0 win2D.tmp 08.07.2006 00:57 0 win3.tmp 08.07.2006 11:49 915 win33.tmp 08.07.2006 11:49 0 win34.tmp 08.07.2006 11:50 0 win35.tmp 08.07.2006 11:50 0 win36.tmp 08.07.2006 11:50 0 win38.tmp 08.07.2006 11:50 0 win3A.tmp 08.07.2006 11:50 183.880 win3B.tmp.exe 08.07.2006 11:50 0 win3C.tmp 08.07.2006 11:50 0 win3E.tmp 08.07.2006 11:50 0 win3F.tmp 08.07.2006 00:59 0 win4.tmp 08.07.2006 11:50 0 win40.tmp 08.07.2006 11:50 0 win41.tmp 08.07.2006 11:50 0 win42.tmp 08.07.2006 11:50 0 win43.tmp 08.07.2006 13:50 915 win4A.tmp 08.07.2006 01:01 0 win5.tmp 08.07.2006 03:49 915 win52.tmp 08.07.2006 05:49 0 win59.tmp 08.07.2006 05:49 0 win5A.tmp 08.07.2006 05:49 0 win5B.tmp 08.07.2006 01:04 0 win6.tmp 08.07.2006 07:49 915 win61.tmp 08.07.2006 09:49 0 win68.tmp 08.07.2006 09:49 0 win69.tmp 08.07.2006 09:49 0 win6A.tmp 08.07.2006 01:06 0 win7.tmp 08.07.2006 01:35 0 win8.tmp 08.07.2006 01:35 915 win9.tmp 08.07.2006 01:35 0 winA.tmp 08.07.2006 10:29 0 winB.tmp 08.07.2006 01:35 14.848 winB.tmp.exe 08.07.2006 01:35 0 winC.tmp 08.07.2006 10:29 0 winD.tmp 08.07.2006 10:29 0 winE.tmp 08.07.2006 10:27 0 winEC.tmp 08.07.2006 10:27 0 winED.tmp 08.07.2006 10:27 0 winEE.tmp 08.07.2006 10:27 0 winEF.tmp 08.07.2006 01:14 0 winF.tmp 87 Datei(en) 1.261.999 Bytes 2 Verzeichnis(se), 20.992.937.984 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\Temp 08.07.2006 14:04 <DIR> . 08.07.2006 14:04 <DIR> .. 08.07.2006 10:27 2.092 aa0d_appcompat.txt 08.07.2006 01:47 <DIR> NI.UWA6PU_0001_N62M3012 08.07.2006 14:04 16.384 Perflib_Perfdata_38c04.dat 08.07.2006 03:08 <DIR> plugtmp 08.07.2006 10:53 <DIR> plugtmp-1 08.07.2006 01:05 <DIR> VBE 08.07.2006 01:53 714 wa6Support.log 08.07.2006 01:20 16.384 ~DF2180.tmp 08.07.2006 01:03 16.384 ~DF464A.tmp 08.07.2006 01:03 16.384 ~DF5444.tmp 08.07.2006 01:14 16.384 ~DF811E.tmp 08.07.2006 01:20 16.384 ~DFEB16.tmp 08.07.2006 02:05 <DIR> ~nsu.tmp 08.07.2006 01:48 4.769.003 ~wa6psetup.exe 9 Datei(en) 4.870.113 Bytes 7 Verzeichnis(se), 20.992.937.984 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\Programme 08.07.2006 14:02 <DIR> . 08.07.2006 14:02 <DIR> .. 16.06.2006 21:50 <DIR> AGEIA Technologies 02.03.2006 16:55 <DIR> Ahead 28.05.2006 21:33 <DIR> Allway Sync 07.03.2006 11:08 <DIR> Atari 02.03.2006 16:51 <DIR> Brother 08.07.2006 01:53 <DIR> Common Files 02.03.2006 16:14 <DIR> ComPlus Applications 15.05.2006 01:20 <DIR> directx 02.05.2006 12:50 <DIR> DivX 21.06.2006 23:35 <DIR> DVD Shrink 02.03.2006 16:58 <DIR> FaJo 07.07.2006 15:25 <DIR> FlashFXP 08.07.2006 11:50 <DIR> Gemeinsame Dateien 13.06.2006 15:28 <DIR> ICQLite 29.06.2006 22:00 <DIR> ICQToolbar 16.06.2006 21:37 <DIR> Internet Explorer 21.03.2006 01:22 <DIR> InterVideo 06.06.2006 01:02 <DIR> IVT Corporation 06.03.2006 19:03 <DIR> Java 07.07.2006 00:17 <DIR> Lavasoft 02.03.2006 18:24 <DIR> Messenger 15.05.2006 01:10 <DIR> Microprose 02.03.2006 17:10 <DIR> Microsoft Visual Studio 23.03.2006 20:24 <DIR> Microsoft.NET 16.06.2006 13:36 <DIR> Motherboard Monitor 5 02.03.2006 16:43 <DIR> Movie Maker 08.07.2006 11:03 <DIR> Mozilla Firefox 02.03.2006 16:14 <DIR> MSN Gaming Zone 02.03.2006 16:42 <DIR> NetMeeting 06.03.2006 17:48 <DIR> NVIDIA 29.05.2006 22:41 <DIR> OKI Templates 23.03.2006 15:10 <DIR> Okidata 02.03.2006 16:14 <DIR> Online Services 02.03.2006 16:16 <DIR> Online-Dienste 02.03.2006 16:42 <DIR> Outlook Express 16.05.2006 23:47 <DIR> Real 16.06.2006 13:46 <DIR> RegCleaner 13.03.2006 23:13 <DIR> Registry System Wizard 08.07.2006 14:02 <DIR> Safer Networking 11.05.2006 20:42 <DIR> SiSoftware 04.04.2006 11:37 <DIR> Skype 21.06.2006 23:41 <DIR> SlySoft 02.07.2006 11:45 <DIR> SmartWhois 08.07.2006 02:08 <DIR> Sophos 08.07.2006 10:29 <DIR> Sophos SWEEP for NT 03.04.2006 21:49 <DIR> teamspeak2_RC2 23.03.2006 19:36 <DIR> VMware 07.07.2006 23:49 <DIR> Webroot 30.06.2006 16:10 <DIR> Winamp 15.05.2006 01:17 <DIR> Windows Media Player 02.03.2006 16:42 <DIR> Windows NT 02.05.2006 00:22 <DIR> WinRAR 02.03.2006 17:18 <DIR> WinZip 02.03.2006 17:19 <DIR> X-Chat 2 02.03.2006 16:16 <DIR> xerox 08.07.2006 02:01 <DIR> XoftSpySE 0 Datei(en) 0 Bytes 74 Verzeichnis(se), 20.992.933.888 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\Dokumente und Einstellungen\spooky\Anwendungsdaten 13.03.2006 10:36 <DIR> Brother 30.06.2006 11:17 <DIR> Help 02.03.2006 17:24 <DIR> ICQLite 02.03.2006 16:22 <DIR> Identities 21.03.2006 01:27 <DIR> InterVideo 07.07.2006 00:17 <DIR> Lavasoft 02.03.2006 19:40 <DIR> Macromedia 02.03.2006 19:38 <DIR> Mozilla 16.05.2006 23:50 <DIR> Real 08.07.2006 00:52 <DIR> Skype 08.03.2006 19:49 <DIR> Sun 06.03.2006 18:36 <DIR> Sync App Settings 03.04.2006 21:49 <DIR> teamspeak2 18.06.2006 15:32 <DIR> VMware 07.07.2006 23:49 <DIR> Webroot 08.07.2006 10:30 <DIR> X-Chat 2 0 Datei(en) 0 Bytes 23 Verzeichnis(se), 20.992.933.888 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C92-CC6B Verzeichnis von C:\Programme\Gemeinsame Dateien 08.07.2006 11:50 <DIR> . 08.07.2006 11:50 <DIR> .. 02.03.2006 17:10 <DIR> Designer 02.03.2006 16:15 <DIR> Dienste 02.04.2006 21:01 <DIR> InstallShield 06.03.2006 19:01 <DIR> Java 04.04.2006 10:19 <DIR> Microsoft Shared 02.03.2006 16:15 <DIR> MSSoap 02.03.2006 15:54 <DIR> ODBC 16.05.2006 23:47 <DIR> Real 02.03.2006 15:54 <DIR> SpeechEngines 02.03.2006 17:41 <DIR> Symantec Shared 23.03.2006 20:24 <DIR> System 02.03.2006 17:20 <DIR> Wise Installation Wizard 16.05.2006 23:47 <DIR> xing shared 0 Datei(en) 0 Bytes 17 Verzeichnis(se), 20.992.929.792 Bytes frei Hab zwischendurch auch Sophos und SpySweeper rüberlaufen lassen. Vielleicht gibts ja noch n anderes Tool für den registrysearch. Bis hierher schonmal vielen Dank für die schnelle Antwort!!! MfG |
|
|
||
08.07.2006, 16:01
Ehrenmitglied
Beiträge: 29434 |
#41
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WinAntiVirus Pro 2006 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) FWSvc in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. wenn ich diese Daten habe, beginnt die Reinigung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.07.2006, 18:14
...neu hier
Beiträge: 7 |
#42
Habe das Tool nochmal runtergeladen, aber es stürzt jedesmal ab. Eine manuelle Recherche ergab folgendes:
Für "WinAntiVirus Pro 2006": HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\SharedDLLs : C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll HKEY_LOCAL_MACHINE\SOFTWARE\Webroot\SpySweeper\Startup\id_17 : Value = C:\Programme\WinAntiVirus Pro 2006\fat.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc : Description = Firewall service of WinAntiVirus Pro 2006 checks.... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized : C:\Programme\WinAntiVirus Pro 2006\Updater.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc : Description = Firewall service of WinAntiVirus Pro 2006 checks.... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized\List : C:\Programme\WinAntiVirus Pro 2006\Updater.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc : Description = Firewall service of WinAntiVirus Pro 2006 checks.... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized\List : C:\Programme\WinAntiVirus Pro 2006\Updater.exe Für "FWSvc": HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC\0000 : Service = FWSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc\Enum : 0 = Root\LEGACY_FWSVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC\0000 : Service = FWSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc\ : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC\0000 : Service = FWSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc\Enum : 0 = Root\LEGACY_FWSVC\0000 Hoffe, die Informationen reichen aus, aber ich denke auch ein Tool hätte nicht mehr gefunden (nur schneller und einfacher). Das Problem mit der Datei "win***.tmp.exe besteht aber leider zusätzlich auch immer noch... Vielen Dank! MfG |
|
|
||
08.07.2006, 18:45
Ehrenmitglied
Beiträge: 29434 |
#43
0.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 1. wende Vundofix an http://virus-protect.org/artikel/tools/vundofixx.html poste den scanreport 2. wende Avenger an http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste den report vom avenger, der erscheint öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /minPC neustarten ** smitfraudfix anwenden (poste beide scanreporte) http://virus-protect.org/artikel/tools/smitfrautfix.html ** Loesche manuell: C:\Temp\plugtmp C:\Temp\plugtmp-1 C:\Temp\~nsu.tmp C:\Temp\NI.UWA6PU_0001_N62M3012 C:\Temp\VBE Verzeichnis von C:\Programme\Common Files\Companion Wizard 08.07.2006 01:53 <DIR> Companion Wizard ** Counterspy http://virus-protect.org/counterspy.html nach dem scan stelle alles auf #remove# und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.07.2006, 22:54
...neu hier
Beiträge: 7 |
#44
Vundofix:
C:\windows\system32\pmnnopo.dll C:\windows\system32\ssqpopp.dll C:\windows\system32\vtutq.dll C:\windows\system32\qtutv.ini C:\windows\system32\qtutv.bak1 C:\windows\system32\qtutv.bak2 ---------------------------------------------------------------------------- Avenger: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ljtlectb ******************* Script file located at: \??\C:\Program Files\jkefqall.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC Status: 0xc0000034 File C:\WINDOWS\system32\qtutv.ini deleted successfully. File C:\WINDOWS\system32\qomkiig.dll not found! Deletion of file C:\WINDOWS\system32\qomkiig.dll failed! Could not process line: C:\WINDOWS\system32\qomkiig.dll Status: 0xc0000034 File C:\WINDOWS\system32\regperf.exe not found! Deletion of file C:\WINDOWS\system32\regperf.exe failed! Could not process line: C:\WINDOWS\system32\regperf.exe Status: 0xc0000034 File C:\WINDOWS\system32\nvapps.xml deleted successfully. File C:\WINDOWS\system32\stdole3.tlb deleted successfully. File C:\WINDOWS\system32\qtutv.bak1 deleted successfully. File C:\WINDOWS\system32\vtutq.dll deleted successfully. File C:\WINDOWS\system32\ssqpopp.dll deleted successfully. File C:\WINDOWS\system32\winhab32.dll deleted successfully. File C:\Temp\aa0d_appcompat.txt deleted successfully. Could not process line: C:\Temp\aa0d_appcompat.txt Status: 0xc0000034 File C:\Temp\wa6Support.log deleted successfully. Could not process line: C:\Temp\wa6Support.log Status: 0xc0000034 File C:\Temp\~DF2180.tmp deleted successfully. Could not process line: C:\Temp\~DF2180.tmp Status: 0xc0000034 File C:\Temp\~DF464A.tmp deleted successfully. Could not process line: C:\Temp\~DF464A.tmp Status: 0xc0000034 File C:\Temp\~DF5444.tmp deleted successfully. Could not process line: C:\Temp\~DF5444.tmp Status: 0xc0000034 File C:\Temp\~DF811E.tmp deleted successfully. Could not process line: C:\Temp\~DF811E.tmp Status: 0xc0000034 File C:\Temp\~DFEB16.tmp deleted successfully. Could not process line: C:\Temp\~DFEB16.tmp Status: 0xc0000034 File C:\Temp\~wa6psetup.exe deleted successfully. Could not process line: C:\Temp\~wa6psetup.exe Status: 0xc0000034 Could not open file C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe for deletion Deletion of file C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe failed! Could not process line: C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe Status: 0xc000003a File C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N62M3012NetInstaller.exe deleted successfully. File C:\WINDOWS\system32\fwsvc.sys not found! Deletion of file C:\WINDOWS\system32\fwsvc.sys failed! Could not process line: C:\WINDOWS\system32\fwsvc.sys Status: 0xc0000034 File C:\WINDOWS\Temp\OA.exe deleted successfully. Could not process line: C:\WINDOWS\Temp\OA.exe Status: 0xc0000034 File C:\WINDOWS\Temp\removalfile.bat deleted successfully. Could not process line: C:\WINDOWS\Temp\removalfile.bat Status: 0xc0000034 File C:\WINDOWS\Temp\win1.tmp deleted successfully. File C:\WINDOWS\Temp\win3.tmp deleted successfully. File C:\WINDOWS\Temp\win1.tmp deleted successfully. File C:\WINDOWS\Temp\win10.tmp deleted successfully. File C:\WINDOWS\Temp\win11.tmp deleted successfully. File C:\WINDOWS\Temp\win12.tmp deleted successfully. File C:\WINDOWS\Temp\win13.tmp deleted successfully. File C:\WINDOWS\Temp\win14.tmp deleted successfully. File C:\WINDOWS\Temp\win15.tmp deleted successfully. File C:\WINDOWS\Temp\win16.tmp deleted successfully. File C:\WINDOWS\Temp\win17.tmp deleted successfully. File C:\WINDOWS\Temp\win17.tmp.exe deleted successfully. File C:\WINDOWS\Temp\win18.tmp deleted successfully. File C:\WINDOWS\Temp\win19.tmp deleted successfully. File C:\WINDOWS\Temp\win1A.tmp deleted successfully. File C:\WINDOWS\Temp\win1B.tmp deleted successfully. File C:\WINDOWS\Temp\win1C.tmp deleted successfully. File C:\WINDOWS\Temp\win1D.tmp deleted successfully. File C:\WINDOWS\Temp\win1E.tmp deleted successfully. File C:\WINDOWS\Temp\win1F.tmp deleted successfully. File C:\WINDOWS\Temp\win2.tmp deleted successfully. File C:\WINDOWS\Temp\win20.tmp deleted successfully. File C:\WINDOWS\Temp\win21.tmp deleted successfully. File C:\WINDOWS\Temp\win22.tmp deleted successfully. File C:\WINDOWS\Temp\win23.tmp deleted successfully. File C:\WINDOWS\Temp\win24.tmp deleted successfully. File C:\WINDOWS\Temp\win25.tmp deleted successfully. File C:\WINDOWS\Temp\win26.tmp deleted successfully. File C:\WINDOWS\Temp\win2C.tmp deleted successfully. File C:\WINDOWS\Temp\win2D.tmp deleted successfully. File C:\WINDOWS\Temp\win3.tmp deleted successfully. File C:\WINDOWS\Temp\win33.tmp deleted successfully. File C:\WINDOWS\Temp\win34.tmp deleted successfully. File C:\WINDOWS\Temp\win35.tmp deleted successfully. File C:\WINDOWS\Temp\win36.tmp deleted successfully. File C:\WINDOWS\Temp\win38.tmp deleted successfully. File C:\WINDOWS\Temp\win3A.tmp deleted successfully. File C:\WINDOWS\Temp\win3B.tmp.exe deleted successfully. File C:\WINDOWS\Temp\win3C.tmp deleted successfully. File C:\WINDOWS\Temp\win3E.tmp deleted successfully. File C:\WINDOWS\Temp\win3F.tmp deleted successfully. File C:\WINDOWS\Temp\win4.tmp deleted successfully. File C:\WINDOWS\Temp\win40.tmp deleted successfully. File C:\WINDOWS\Temp\win41.tmp deleted successfully. File C:\WINDOWS\Temp\win42.tmp deleted successfully. File C:\WINDOWS\Temp\win43.tmp deleted successfully. File C:\WINDOWS\Temp\win4A.tmp deleted successfully. File C:\WINDOWS\Temp\win5.tmp deleted successfully. File C:\WINDOWS\Temp\win52.tmp deleted successfully. File C:\WINDOWS\Temp\win59.tmp deleted successfully. File C:\WINDOWS\Temp\win5A.tmp deleted successfully. File C:\WINDOWS\Temp\win5B.tmp deleted successfully. File C:\WINDOWS\Temp\win6.tmp deleted successfully. File C:\WINDOWS\Temp\win61.tmp deleted successfully. File C:\WINDOWS\Temp\win68.tmp deleted successfully. File C:\WINDOWS\Temp\win69.tmp deleted successfully. File C:\WINDOWS\Temp\win6A.tmp deleted successfully. File C:\WINDOWS\Temp\win7.tmp deleted successfully. File C:\WINDOWS\Temp\win8.tmp deleted successfully. File C:\WINDOWS\Temp\win9.tmp deleted successfully. File C:\WINDOWS\Temp\winA.tmp deleted successfully. File C:\WINDOWS\Temp\winB.tmp deleted successfully. File C:\WINDOWS\Temp\winB.tmp.exe deleted successfully. File C:\WINDOWS\Temp\winC.tmp deleted successfully. File C:\WINDOWS\Temp\winD.tmp deleted successfully. File C:\WINDOWS\Temp\winE.tmp deleted successfully. File C:\WINDOWS\Temp\winEC.tmp deleted successfully. File C:\WINDOWS\Temp\winED.tmp deleted successfully. File C:\WINDOWS\Temp\winEE.tmp deleted successfully. File C:\WINDOWS\Temp\winEF.tmp deleted successfully. File C:\WINDOWS\Temp\winF.tmp deleted successfully. Completed script processing. ******************* Finished! Terminate. ------------------------------------------------------------------------------ HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 20:20:57, on 09.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\WINDOWS\Explorer.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Sophos\Remote Update\cachemgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\Programme\VMware\VMware Server\vmware-authd.exe C:\Programme\VMware\VMware Server\vmserverdWin32.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Sophos\Remote Update\imonitor.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\pmnnopo.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {A6DDCF85-727C-46C3-92BD-18DC48FB7FB3} - C:\WINDOWS\system32\vtutq.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O4 - Global Startup: X-Chat 2.lnk = C:\Programme\X-Chat 2\xchat.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{ED070AC7-5636-4C81-9295-D129E7B62492}: NameServer = 134.106.40.3,134.106.49.2 O20 - Winlogon Notify: pmnnopo - C:\WINDOWS\SYSTEM32\pmnnopo.dll O20 - Winlogon Notify: qomkiig - qomkiig.dll (file missing) O20 - Winlogon Notify: vtutq - C:\WINDOWS\system32\vtutq.dll (file missing) O20 - Winlogon Notify: winhab32 - winhab32.dll (file missing) O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmserverdWin32.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe ---------------------------------------------------------------------------- Smitfraud: SmitFraudFix v2.68b Scan done at 20:53:48,92, 09.07.2006 Run from C:\Dokumente und Einstellungen\spooky\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\spooky\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\spooky\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End ---------------------------------------------------------------------------- Counterspy: Spyware Scan Details Start Date: 09.07.2006 20:38:49 End Date: 09.07.2006 21:29:31 Total Time: 50 mins 42 secs Detected spyware IST.ISTbar Browser Hijacker more information... Details: ISTbar is an Internet Explorer Hijacker, which modifies your homepages and searches without a user’s consent using an Internet Explorer toolbar. Status: Deleted Infected files detected c:\delus.bat war*hier nicht!* P2P Adware Bundler more information... Details: war*hier nicht!* P2P is a file sharing program that bundles adware/spyware including HyperBar, StartNow, and New.Net. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler\Clsid HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler\Clsid {3F2BBC05-40DF-11D2-9455-00104BC936FF} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!*_Query protocol HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!* Of2 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!* Of1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol HKEY_LOCAL_MACHINE\SOFTWARE\Classes\warep\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\warep\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!* protocol HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wareo\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wareo\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler\Clsid {3F2BBC05-40DF-11D2-9455-00104BC936FF} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler Implements DocHostUIHandler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L" Adw.BestOffersNetworks.IDTheftRadar Adware more information... Details: Adw.BestOffersNetworks.IDTheftRadar purports to help guard against identity theft. This application alone does not present a Thread, but is installed with several adware Thread. Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32 C:\PROGRA~1\war*hier nicht!*~1\war*hier nicht!*.exe HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID war*hier nicht!*.DocHostUIHandler HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} Implements DocHostUIHandler |
|
|
||
10.07.2006, 01:28
Ehrenmitglied
Beiträge: 29434 |
#45
sp00ky
1. Gehe in die registry bearbeiten - suchen - WinAntiVirus Pro 2006 - loesche alles, was du findest ! 2. wende bei smitfraud.fix die Option 2 an, damit die malware nicht nur erkannt, sondern auch geloescht wird !! 3. kopiere in den Avenger: Zitat Files to delete:gruene Ampel- PC neustarten 4. fixe mit dem HijackThis: Zitat O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\pmnnopo.dllPC neustarten 5. poste noch mal die 4 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, March 22, 2006 12:34:12 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 22/03/2006
Kaspersky Anti-Virus database records: 172252
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
C:\
D:\
Scan Statistics:
Total number of scanned objects: 80189
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 01:05:49
Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\Μіcrosoft\logonui.exe Infected: Trojan-Downloader.Win32.PurityScan.w skipped
Scan process completed.
im Anhang ist auch das completbat.exe log als txt-Datei :-)