Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastung

#31 hab mit kapersky online gescannt. hier der report:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, March 22, 2006 12:34:12 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 22/03/2006
Kaspersky Anti-Virus database records: 172252
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 80189
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 01:05:49

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\Μіcrosoft\logonui.exe Infected: Trojan-Downloader.Win32.PurityScan.w skipped

Scan process completed.



im Anhang ist auch das completbat.exe log als txt-Datei :-)

#32 geeho

Zitat

C:\Programme
14.03.2006 17:01 <DIR> ??crosoft

C:\WINDOWS\Prefetch\SET63.TMP
C:\WINDOWS\Prefetch\_IU14D2N.TMP

Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\??crosoft*.*" > c:\find.txt & start notepad c:\find.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Anwendungsdaten

14.03.2006 23:59 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme

28.02.2006 01:25 2.469 Microsoft Access.lnk
14.12.2004 10:25 2.088 Microsoft Excel.lnk
14.12.2004 10:25 2.074 Microsoft FrontPage.lnk
19.08.2004 14:29 <DIR> Microsoft Office
14.12.2004 10:25 <DIR> Microsoft Office Tools
14.12.2004 10:25 2.148 Microsoft Outlook.lnk
14.12.2004 10:25 2.080 Microsoft PowerPoint.lnk
14.12.2004 10:25 2.050 Microsoft Word.lnk
6 Datei(en) 12.909 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Microsoft Office

30.09.2005 15:55 2.447 Microsoft Office OneNote 2003.lnk
19.08.2004 14:29 <DIR> Microsoft Office Tools
1 Datei(en) 2.447 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Microsoft Office\Microsoft Office Tools

19.08.2004 14:29 1.980 Microsoft Office 2003 Assistent zum Speichern eigener Einstellungen.lnk
19.08.2004 14:29 1.912 Microsoft Office 2003 Spracheinstellungen.lnk
19.08.2004 14:29 1.890 Microsoft Office Anwendungswiederherstellung.lnk
3 Datei(en) 5.782 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Microsoft Office Tools

14.12.2004 10:25 2.012 Microsoft Access Snapshot Viewer.lnk
14.12.2004 10:25 2.044 Microsoft Clip Organizer.lnk
14.12.2004 10:25 2.210 Microsoft Office Document Imaging.lnk
14.12.2004 10:25 2.190 Microsoft Office Document Scanning.lnk
14.12.2004 10:25 1.866 Microsoft Office Problem-Manager.lnk
14.12.2004 10:25 1.912 Microsoft Office XP-Spracheinstellungen.lnk
6 Datei(en) 12.234 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Spiele

07.06.2005 21:58 <DIR> Microsoft Games
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Verwaltung

19.08.2004 11:13 1.107 Microsoft .NET Framework 1.1 Configuration.lnk
19.08.2004 11:13 1.158 Microsoft .NET Framework 1.1 Wizards.lnk
19.08.2004 11:13 1.262 Microsoft .NET Framework 1.1-Assistenten.lnk
19.08.2004 11:13 1.137 Microsoft .NET Framework 1.1-Konfiguration.lnk
4 Datei(en) 4.664 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Zubeh”r

19.08.2004 11:11 <DIR> Microsoft Interaktives Training
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Zubeh”r\Microsoft Interaktives Training

19.08.2004 11:11 896 Microsoft Interaktives Training.lnk
1 Datei(en) 896 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Default User\Anwendungsdaten

19.08.2004 12:51 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten

23.08.2004 05:43 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Anwendungsdaten

21.03.2006 18:21 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch

21.03.2006 01:08 2.611 Microsoft Outlook.lnk
1 Datei(en) 2.611 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Application Data

14.12.2004 16:48 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Desktop

24.02.2006 14:25 2.523 Microsoft Excel.lnk
13.01.2006 05:30 2.519 Microsoft FrontPage.lnk
01.03.2005 19:05 2.435 Microsoft OneNote.lnk
22.03.2006 11:07 2.593 Microsoft Outlook.lnk
27.02.2006 12:06 2.495 Microsoft Word.lnk
5 Datei(en) 12.565 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Lokale Einstellungen\Anwendungsdaten

21.03.2006 14:07 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Startmen�\Programme

19.01.2006 14:08 994 Microsoft Outlook.lnk
1 Datei(en) 994 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Fabrizio Laraia\Startmen�\Programme\Autostart

15.12.2004 00:09 849 Microsoft Office OneNote 2003 Schnellstart.lnk
1 Datei(en) 849 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\LocalService\Anwendungsdaten

19.08.2004 11:09 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten

19.08.2004 11:09 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten

19.08.2004 11:09 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten

19.08.2004 11:09 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme

19.08.2004 11:06 <DIR> microsoft frontpage
07.06.2005 21:44 <DIR> Microsoft Games
14.12.2004 10:24 <DIR> Microsoft Office
14.12.2004 10:06 <DIR> Microsoft Works
19.08.2004 14:28 <DIR> Microsoft.NET
14.03.2006 17:01 <DIR> ??crosoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\Gemeinsame Dateien

14.12.2004 10:25 <DIR> Microsoft Shared
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\Gemeinsame Dateien\SpeechEngines

19.08.2004 11:57 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\Microsoft Office\Office10\Shortcut Bar\Office

14.12.2004 10:25 1.868 Microsoft Access.lnk
14.12.2004 10:25 1.864 Microsoft Excel.lnk
14.12.2004 10:25 1.866 Microsoft FrontPage.lnk
14.12.2004 10:25 1.868 Microsoft Outlook.lnk
14.12.2004 10:25 1.872 Microsoft PowerPoint.lnk
14.12.2004 10:25 1.864 Microsoft Word.lnk
6 Datei(en) 11.202 Bytes

Verzeichnis von c:\WINDOWS

19.08.2004 11:12 <DIR> Microsoft.NET
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC

19.08.2004 11:13 <DIR> Microsoft.JScript
19.08.2004 11:13 <DIR> Microsoft.JScript.resources
19.08.2004 14:29 <DIR> Microsoft.Vbe.Interop
19.08.2004 11:13 <DIR> Microsoft.VisualBasic
19.08.2004 11:13 <DIR> Microsoft.VisualBasic.resources
19.08.2004 11:13 <DIR> Microsoft.VisualBasic.Vsa
19.08.2004 11:13 <DIR> Microsoft.VisualC
19.08.2004 11:13 <DIR> Microsoft.Vsa
19.08.2004 11:13 <DIR> Microsoft.Vsa.Vb.CodeDOMProcessor
19.08.2004 11:13 <DIR> Microsoft_VsaVb
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.JScript\7.0.5000.0__b03f5f7f11d50a3a

19.08.2004 11:12 716.800 Microsoft.JScript.dll
1 Datei(en) 716.800 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.JScript.resources\7.0.5000.0_de_b03f5f7f11d50a3a

19.08.2004 11:13 45.056 Microsoft.Jscript.Resources.dll
1 Datei(en) 45.056 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.Vbe.Interop\11.0.0.0__71e9bce111e9429c

19.08.2004 14:29 64.088 Microsoft.Vbe.Interop.dll
1 Datei(en) 64.088 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualBasic\7.0.5000.0__b03f5f7f11d50a3a

19.08.2004 11:12 299.008 Microsoft.VisualBasic.dll
1 Datei(en) 299.008 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.resources\7.0.5000.0_de_b03f5f7f11d50a3a

19.08.2004 11:13 36.864 Microsoft.VisualBasic.Resources.dll
1 Datei(en) 36.864 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.Vsa\7.0.5000.0__b03f5f7f11d50a3a

19.08.2004 11:12 28.672 Microsoft.VisualBasic.Vsa.dll
1 Datei(en) 28.672 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.VisualC\7.0.5000.0__b03f5f7f11d50a3a

19.08.2004 11:12 6.144 Microsoft.VisualC.dll
1 Datei(en) 6.144 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.Vsa\7.0.5000.0__b03f5f7f11d50a3a

19.08.2004 11:12 32.768 Microsoft.Vsa.dll
1 Datei(en) 32.768 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft.Vsa.Vb.CodeDOMProcessor\7.0.5000.0__b03f5f7f11d50a3a

19.08.2004 11:12 11.264 Microsoft.Vsa.Vb.CodeDOMProcessor.dll
1 Datei(en) 11.264 Bytes

Verzeichnis von c:\WINDOWS\assembly\GAC\Microsoft_VsaVb\7.0.5000.0__b03f5f7f11d50a3a

19.08.2004 11:12 6.656 Microsoft_VsaVb.dll
1 Datei(en) 6.656 Bytes

Verzeichnis von c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322

21.02.2003 06:26 716.800 Microsoft.JScript.dll
21.02.2003 00:25 49.152 Microsoft.JScript.tlb
21.02.2003 06:26 299.008 Microsoft.VisualBasic.dll
21.02.2003 06:24 28.672 Microsoft.VisualBasic.Vsa.dll
21.02.2003 06:25 6.144 Microsoft.VisualC.Dll
21.02.2003 06:24 32.768 Microsoft.Vsa.dll
21.02.2003 00:44 22.528 Microsoft.Vsa.tlb
21.02.2003 06:25 11.264 Microsoft.Vsa.Vb.CodeDOMProcessor.dll
21.02.2003 04:03 6.144 Microsoft.Vsa.Vb.CodeDOMProcessor.tlb
21.02.2003 06:25 6.656 Microsoft_VsaVb.dll
10 Datei(en) 1.179.136 Bytes

Verzeichnis von c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\DE

24.02.2003 20:11 45.056 Microsoft.JScript.Resources.dll
24.02.2003 20:11 36.864 Microsoft.VisualBasic.resources.dll
2 Datei(en) 81.920 Bytes

Verzeichnis von c:\WINDOWS\system32

19.08.2004 11:09 <DIR> Microsoft
14.03.2006 17:00 <DIR> ??crosoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS\system32\config\systemprofile\Anwendungsdaten

19.08.2004 12:51 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten

23.08.2004 05:43 <DIR> Microsoft
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS\system32\??crosoft

14.03.2006 17:01 <DIR> ??crosoft
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
57 Datei(en) 2.575.529 Bytes
39 Verzeichnis(se), 12.464.599.040 Bytes frei


mfg
geeho

#34 1.

c:\Programme\Microsoft --> loeschen (vom 14.03.2006 17:01)

Zitat

19.08.2004 11:06 <DIR> microsoft frontpage
07.06.2005 21:44 <DIR> Microsoft Games
14.12.2004 10:24 <DIR> Microsoft Office
14.12.2004 10:06 <DIR> Microsoft Works
19.08.2004 14:28 <DIR> Microsoft.NET
14.03.2006 17:01 <DIR> ??crosoft
0 Datei(en) 0 Bytes

2.

Zitat

& # 9 2 4; & #1 1 1 0 ; c r o s o f t --> mit Leerstellen -- ??crosoft

C:\WINDOWS\system32\Μіcrosoft\logonui.exe
c:\WINDOWS\system32\Microsoft --> loeschen
bitte passe auf, dass du nur die Datei vom 14.03.2006 17:01 loeschst..keine andere !!!

Zitat

Verzeichnis von c:\WINDOWS\system32\??crosoft
14.03.2006 17:01 <DIR> ??crosoft
0 Datei(en) 0 Bytes

__________
MfG Sabina

rund um die PC-Sicherheit

#35 ok sind gelöscht!
hatte sie erst vergeblich gesucht, da sie nicht alphabetisch sortiert waren, sucht man aber nach dem datum findet man sie schneller!

wars das? oder muss ich noch was beachten?

Greez!

geeho

#36 wenn du die zwei Dateien gefunden/geloescht hast, dann sollte wieder alles in Ordnung sein

und danke, ich konnte mit deiner Hilfe eine neue Anleitung erstellen
http://virus-protect.org/artikel/spyware/spyfalcon_purityscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#37 @ Sabina

Du hast einen neuen FAN :-D

Glaube es wird Zeit einen Fanclub zu gründen :-)

Verbindlichsten Dank für die Unterstützung und die prompte und kompetente Hilfe!

#38 Hallo!
Auch ich habe das Problem mit diesem Trojaner. DArum bitte ich jetzt hier um Hilfe. Ich habe schonmal nen Scan mit HijackThis durchgeführt.

Logfile of HijackThis v1.99.1
Scan saved at 02:34:50, on 08.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\X-Chat 2\xchat.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos SWEEP for NT\WSWEEPNT.EXE
C:\Temp\Rar$EX04.344\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min
O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Global Startup: X-Chat 2.lnk = C:\Programme\X-Chat 2\xchat.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED070AC7-5636-4C81-9295-D129E7B62492}: NameServer = 134.106.40.3,134.106.49.2
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - C:\PROGRA~1\Serv-U\ServUDaemon.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Auch die datfindbat hab ich ausgeführt (da ich mir sicher bin, dass ich das Problem erst seit kurzem habe, poste ich nur die neusten einträge):

system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\WINDOWS

08.07.2006 01:19 2.154 ModemLog_Bluetooth LAP Modem.txt
08.07.2006 01:19 2.154 ModemLog_Bluetooth LAP Modem #2.txt
08.07.2006 01:19 1.313.588 WindowsUpdate.log
08.07.2006 01:19 2.048 bootstat.dat
08.07.2006 01:18 10.926 SchedLgU.Txt
08.07.2006 00:56 227 system.ini
08.07.2006 00:56 1.199 win.ini
07.07.2006 14:55 819.404 setupapi.log
07.07.2006 12:57 1.100 IE4 Error Log.txt
04.07.2006 16:44 26.980 Directx.log

161 Datei(en) 49.704.828 Bytes
0 Verzeichnis(se), 21.040.709.632 Bytes frei

systemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\TEMP

08.07.2006 01:41 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13588.html
08.07.2006 01:36 16.384 ~DFEB07.tmp
08.07.2006 01:20 16.384 ~DF2180.tmp
08.07.2006 01:20 512 ~DFEB31.tmp
08.07.2006 01:20 16.384 ~DFEB16.tmp
08.07.2006 01:14 16.384 ~DF811E.tmp
08.07.2006 01:03 16.384 ~DF5444.tmp
08.07.2006 01:03 16.384 ~DF464A.tmp
8 Datei(en) 99.799 Bytes
0 Verzeichnis(se), 21.040.730.112 Bytes frei

system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\WINDOWS\system32

08.07.2006 01:41 625.138 qtutv.ini
08.07.2006 01:35 39.437 qomkiig.dll
08.07.2006 01:35 72.720 regperf.exe
08.07.2006 01:19 43.586 nvapps.xml
08.07.2006 00:47 0 stdole3.tlb
07.07.2006 04:00 624.404 qtutv.bak1
06.07.2006 16:00 569.396 vtutq.dll
04.07.2006 15:35 39.437 ssqpopp.dll
04.07.2006 15:35 18.432 winhab32.dll
01.07.2006 02:04 2.206 wpa.dbl
2212 Datei(en) 427.234.054 Bytes
0 Verzeichnis(se), 21.040.721.920 Bytes frei

Hoffe ihr könnt mir auch helfen.
Vielen Dank im Voraus!

#39 sp00ky

du bist auf den WinAntiVirus Pro 2006 reingefallen
http://virus-protect.org/artikel/spyware/winantivirus_%20pro_%202006.html
er zerschiesst dein System................und bringt die Viren und Trojaner mit, die er dann, wenn du bezahlst !!! angeblich wieder entfernt (was natuerlich nicht passiert)

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

WinAntiVirus Pro 2006

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

FWSvc

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

-------------------------------------------------------------------------------------
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Programme\WinAntiVirus Pro 2006" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#40 Ich befürchte, das ist nicht das einzige Problem. Kann zudem die Suche mit regsearch nicht durchführen. Das Programm stürzt jedesmal ab. Hier aber das Ergebnis der listen.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 19:52 697 DirectAnimation Java Classes.osd
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
02.12.2005 12:55 5.101 swflash.inf
30.12.2005 10:49 72.704 UWA6PU_0001_N62M3012NetInstaller.exe
4 Datei(en) 79.664 Bytes
0 Verzeichnis(se), 20.992.946.176 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\Programme\Common Files

08.07.2006 01:53 <DIR> .
08.07.2006 01:53 <DIR> ..
08.07.2006 01:53 <DIR> Companion Wizard
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 20.992.942.080 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\WINDOWS\Temp

08.07.2006 14:00 <DIR> .
08.07.2006 14:00 <DIR> ..
01.06.2006 18:55 155.648 OA.exe
08.07.2006 01:19 16.384 Perflib_Perfdata_2dc.dat
08.07.2006 00:58 16.384 Perflib_Perfdata_478.dat
08.07.2006 10:29 16.384 Perflib_Perfdata_4ac.dat
22.09.1998 08:00 1.723 README.TXT
08.07.2006 11:50 43 removalfile.bat
08.07.2006 10:29 451.447 vminst.log
08.07.2006 10:28 19.550 vmware-serverd-0.log
08.07.2006 01:18 19.551 vmware-serverd-1.log
08.07.2006 00:57 19.433 vmware-serverd-2.log
08.07.2006 00:49 19.550 vmware-serverd-3.log
06.07.2006 15:53 19.550 vmware-serverd-4.log
30.06.2006 15:35 19.549 vmware-serverd-5.log
25.06.2006 12:51 20.187 vmware-serverd-6.log
18.06.2006 13:45 19.549 vmware-serverd-7.log
18.06.2006 13:29 19.390 vmware-serverd-8.log
16.06.2006 22:24 19.550 vmware-serverd-9.log
08.07.2006 10:35 19.114 vmware-serverd.log
08.07.2006 00:54 0 win1.tmp
08.07.2006 01:14 0 win10.tmp
08.07.2006 01:14 0 win11.tmp
08.07.2006 01:16 0 win12.tmp
08.07.2006 01:17 0 win13.tmp
08.07.2006 01:35 0 win14.tmp
08.07.2006 10:31 0 win15.tmp
08.07.2006 01:35 0 win16.tmp
08.07.2006 10:31 0 win17.tmp
08.07.2006 01:35 183.880 win17.tmp.exe
08.07.2006 01:35 0 win18.tmp
08.07.2006 01:35 0 win19.tmp
08.07.2006 10:31 0 win1A.tmp
08.07.2006 01:35 0 win1B.tmp
08.07.2006 01:35 0 win1C.tmp
08.07.2006 01:35 0 win1D.tmp
08.07.2006 01:35 0 win1E.tmp
08.07.2006 01:35 0 win1F.tmp
08.07.2006 00:56 0 win2.tmp
08.07.2006 10:33 0 win20.tmp
08.07.2006 01:37 915 win21.tmp
08.07.2006 01:37 0 win22.tmp
08.07.2006 10:33 0 win23.tmp
08.07.2006 10:33 0 win24.tmp
08.07.2006 10:35 0 win25.tmp
08.07.2006 10:37 0 win26.tmp
08.07.2006 01:49 915 win2C.tmp
08.07.2006 01:49 0 win2D.tmp
08.07.2006 00:57 0 win3.tmp
08.07.2006 11:49 915 win33.tmp
08.07.2006 11:49 0 win34.tmp
08.07.2006 11:50 0 win35.tmp
08.07.2006 11:50 0 win36.tmp
08.07.2006 11:50 0 win38.tmp
08.07.2006 11:50 0 win3A.tmp
08.07.2006 11:50 183.880 win3B.tmp.exe
08.07.2006 11:50 0 win3C.tmp
08.07.2006 11:50 0 win3E.tmp
08.07.2006 11:50 0 win3F.tmp
08.07.2006 00:59 0 win4.tmp
08.07.2006 11:50 0 win40.tmp
08.07.2006 11:50 0 win41.tmp
08.07.2006 11:50 0 win42.tmp
08.07.2006 11:50 0 win43.tmp
08.07.2006 13:50 915 win4A.tmp
08.07.2006 01:01 0 win5.tmp
08.07.2006 03:49 915 win52.tmp
08.07.2006 05:49 0 win59.tmp
08.07.2006 05:49 0 win5A.tmp
08.07.2006 05:49 0 win5B.tmp
08.07.2006 01:04 0 win6.tmp
08.07.2006 07:49 915 win61.tmp
08.07.2006 09:49 0 win68.tmp
08.07.2006 09:49 0 win69.tmp
08.07.2006 09:49 0 win6A.tmp
08.07.2006 01:06 0 win7.tmp
08.07.2006 01:35 0 win8.tmp
08.07.2006 01:35 915 win9.tmp
08.07.2006 01:35 0 winA.tmp
08.07.2006 10:29 0 winB.tmp
08.07.2006 01:35 14.848 winB.tmp.exe
08.07.2006 01:35 0 winC.tmp
08.07.2006 10:29 0 winD.tmp
08.07.2006 10:29 0 winE.tmp
08.07.2006 10:27 0 winEC.tmp
08.07.2006 10:27 0 winED.tmp
08.07.2006 10:27 0 winEE.tmp
08.07.2006 10:27 0 winEF.tmp
08.07.2006 01:14 0 winF.tmp
87 Datei(en) 1.261.999 Bytes
2 Verzeichnis(se), 20.992.937.984 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\Temp

08.07.2006 14:04 <DIR> .
08.07.2006 14:04 <DIR> ..
08.07.2006 10:27 2.092 aa0d_appcompat.txt
08.07.2006 01:47 <DIR> NI.UWA6PU_0001_N62M3012
08.07.2006 14:04 16.384 Perflib_Perfdata_38c04.dat
08.07.2006 03:08 <DIR> plugtmp
08.07.2006 10:53 <DIR> plugtmp-1
08.07.2006 01:05 <DIR> VBE
08.07.2006 01:53 714 wa6Support.log
08.07.2006 01:20 16.384 ~DF2180.tmp
08.07.2006 01:03 16.384 ~DF464A.tmp
08.07.2006 01:03 16.384 ~DF5444.tmp
08.07.2006 01:14 16.384 ~DF811E.tmp
08.07.2006 01:20 16.384 ~DFEB16.tmp
08.07.2006 02:05 <DIR> ~nsu.tmp
08.07.2006 01:48 4.769.003 ~wa6psetup.exe
9 Datei(en) 4.870.113 Bytes
7 Verzeichnis(se), 20.992.937.984 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\Programme

08.07.2006 14:02 <DIR> .
08.07.2006 14:02 <DIR> ..
16.06.2006 21:50 <DIR> AGEIA Technologies
02.03.2006 16:55 <DIR> Ahead
28.05.2006 21:33 <DIR> Allway Sync
07.03.2006 11:08 <DIR> Atari
02.03.2006 16:51 <DIR> Brother
08.07.2006 01:53 <DIR> Common Files
02.03.2006 16:14 <DIR> ComPlus Applications
15.05.2006 01:20 <DIR> directx
02.05.2006 12:50 <DIR> DivX
21.06.2006 23:35 <DIR> DVD Shrink
02.03.2006 16:58 <DIR> FaJo
07.07.2006 15:25 <DIR> FlashFXP
08.07.2006 11:50 <DIR> Gemeinsame Dateien
13.06.2006 15:28 <DIR> ICQLite
29.06.2006 22:00 <DIR> ICQToolbar
16.06.2006 21:37 <DIR> Internet Explorer
21.03.2006 01:22 <DIR> InterVideo
06.06.2006 01:02 <DIR> IVT Corporation
06.03.2006 19:03 <DIR> Java
07.07.2006 00:17 <DIR> Lavasoft
02.03.2006 18:24 <DIR> Messenger
15.05.2006 01:10 <DIR> Microprose
02.03.2006 17:10 <DIR> Microsoft Visual Studio
23.03.2006 20:24 <DIR> Microsoft.NET
16.06.2006 13:36 <DIR> Motherboard Monitor 5
02.03.2006 16:43 <DIR> Movie Maker
08.07.2006 11:03 <DIR> Mozilla Firefox
02.03.2006 16:14 <DIR> MSN Gaming Zone
02.03.2006 16:42 <DIR> NetMeeting
06.03.2006 17:48 <DIR> NVIDIA
29.05.2006 22:41 <DIR> OKI Templates
23.03.2006 15:10 <DIR> Okidata
02.03.2006 16:14 <DIR> Online Services
02.03.2006 16:16 <DIR> Online-Dienste
02.03.2006 16:42 <DIR> Outlook Express
16.05.2006 23:47 <DIR> Real
16.06.2006 13:46 <DIR> RegCleaner
13.03.2006 23:13 <DIR> Registry System Wizard
08.07.2006 14:02 <DIR> Safer Networking
11.05.2006 20:42 <DIR> SiSoftware
04.04.2006 11:37 <DIR> Skype
21.06.2006 23:41 <DIR> SlySoft
02.07.2006 11:45 <DIR> SmartWhois
08.07.2006 02:08 <DIR> Sophos
08.07.2006 10:29 <DIR> Sophos SWEEP for NT
03.04.2006 21:49 <DIR> teamspeak2_RC2
23.03.2006 19:36 <DIR> VMware
07.07.2006 23:49 <DIR> Webroot
30.06.2006 16:10 <DIR> Winamp
15.05.2006 01:17 <DIR> Windows Media Player
02.03.2006 16:42 <DIR> Windows NT
02.05.2006 00:22 <DIR> WinRAR
02.03.2006 17:18 <DIR> WinZip
02.03.2006 17:19 <DIR> X-Chat 2
02.03.2006 16:16 <DIR> xerox
08.07.2006 02:01 <DIR> XoftSpySE
0 Datei(en) 0 Bytes
74 Verzeichnis(se), 20.992.933.888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\Dokumente und Einstellungen\spooky\Anwendungsdaten

13.03.2006 10:36 <DIR> Brother
30.06.2006 11:17 <DIR> Help
02.03.2006 17:24 <DIR> ICQLite
02.03.2006 16:22 <DIR> Identities
21.03.2006 01:27 <DIR> InterVideo
07.07.2006 00:17 <DIR> Lavasoft
02.03.2006 19:40 <DIR> Macromedia
02.03.2006 19:38 <DIR> Mozilla
16.05.2006 23:50 <DIR> Real
08.07.2006 00:52 <DIR> Skype
08.03.2006 19:49 <DIR> Sun
06.03.2006 18:36 <DIR> Sync App Settings
03.04.2006 21:49 <DIR> teamspeak2
18.06.2006 15:32 <DIR> VMware
07.07.2006 23:49 <DIR> Webroot
08.07.2006 10:30 <DIR> X-Chat 2
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 20.992.933.888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C92-CC6B

Verzeichnis von C:\Programme\Gemeinsame Dateien

08.07.2006 11:50 <DIR> .
08.07.2006 11:50 <DIR> ..
02.03.2006 17:10 <DIR> Designer
02.03.2006 16:15 <DIR> Dienste
02.04.2006 21:01 <DIR> InstallShield
06.03.2006 19:01 <DIR> Java
04.04.2006 10:19 <DIR> Microsoft Shared
02.03.2006 16:15 <DIR> MSSoap
02.03.2006 15:54 <DIR> ODBC
16.05.2006 23:47 <DIR> Real
02.03.2006 15:54 <DIR> SpeechEngines
02.03.2006 17:41 <DIR> Symantec Shared
23.03.2006 20:24 <DIR> System
02.03.2006 17:20 <DIR> Wise Installation Wizard
16.05.2006 23:47 <DIR> xing shared
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 20.992.929.792 Bytes frei

Hab zwischendurch auch Sophos und SpySweeper rüberlaufen lassen. Vielleicht gibts ja noch n anderes Tool für den registrysearch.

Bis hierher schonmal vielen Dank für die schnelle Antwort!!!

MfG

#41 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

WinAntiVirus Pro 2006

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

FWSvc

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

wenn ich diese Daten habe, beginnt die Reinigung
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Habe das Tool nochmal runtergeladen, aber es stürzt jedesmal ab. Eine manuelle Recherche ergab folgendes:

Für "WinAntiVirus Pro 2006":

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\SharedDLLs : C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Webroot\SpySweeper\Startup\id_17 :
Value = C:\Programme\WinAntiVirus Pro 2006\fat.exe


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc : Description = Firewall service of WinAntiVirus Pro 2006 checks....


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser...

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized : C:\Programme\WinAntiVirus Pro 2006\Updater.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc : Description = Firewall service of WinAntiVirus Pro 2006 checks....

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser...

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized\List : C:\Programme\WinAntiVirus Pro 2006\Updater.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc : Description = Firewall service of WinAntiVirus Pro 2006 checks....

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized\List : C:\Programme\WinAntiVirus Pro 2006\Updater.exe

Für "FWSvc":


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC\0000 : Service = FWSvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser...

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc\Enum : 0 = Root\LEGACY_FWSVC\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC\0000 : Service = FWSvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc\ : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC\0000 : Service = FWSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc : ImagePath = C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe /ser...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc\Enum : 0 = Root\LEGACY_FWSVC\0000

Hoffe, die Informationen reichen aus, aber ich denke auch ein Tool hätte nicht mehr gefunden (nur schneller und einfacher).
Das Problem mit der Datei "win***.tmp.exe besteht aber leider zusätzlich auch immer noch...

Vielen Dank!

MfG

#43 0.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

1.
wende Vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html
poste den scanreport

2.
wende Avenger an
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC

Files to delete:
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qomkiig.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\qtutv.bak1
C:\WINDOWS\system32\vtutq.dll
C:\WINDOWS\system32\ssqpopp.dll
C:\WINDOWS\system32\winhab32.dll
C:\Temp\aa0d_appcompat.txt
C:\Temp\wa6Support.log
C:\Temp\~DF2180.tmp
C:\Temp\~DF464A.tmp
C:\Temp\~DF5444.tmp
C:\Temp\~DF811E.tmp
C:\Temp\~DFEB16.tmp
C:\Temp\~wa6psetup.exe
C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N62M3012NetInstaller.exe
C:\WINDOWS\system32\fwsvc.sys
C:\WINDOWS\Temp\OA.exe
C:\WINDOWS\Temp\removalfile.bat
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\win10.tmp
C:\WINDOWS\Temp\win11.tmp
C:\WINDOWS\Temp\win12.tmp
C:\WINDOWS\Temp\win13.tmp
C:\WINDOWS\Temp\win14.tmp
C:\WINDOWS\Temp\win15.tmp
C:\WINDOWS\Temp\win16.tmp
C:\WINDOWS\Temp\win17.tmp
C:\WINDOWS\Temp\win17.tmp.exe
C:\WINDOWS\Temp\win18.tmp
C:\WINDOWS\Temp\win19.tmp
C:\WINDOWS\Temp\win1A.tmp
C:\WINDOWS\Temp\win1B.tmp
C:\WINDOWS\Temp\win1C.tmp
C:\WINDOWS\Temp\win1D.tmp
C:\WINDOWS\Temp\win1E.tmp
C:\WINDOWS\Temp\win1F.tmp
C:\WINDOWS\Temp\win2.tmp
C:\WINDOWS\Temp\win20.tmp
C:\WINDOWS\Temp\win21.tmp
C:\WINDOWS\Temp\win22.tmp
C:\WINDOWS\Temp\win23.tmp
C:\WINDOWS\Temp\win24.tmp
C:\WINDOWS\Temp\win25.tmp
C:\WINDOWS\Temp\win26.tmp
C:\WINDOWS\Temp\win2C.tmp
C:\WINDOWS\Temp\win2D.tmp
C:\WINDOWS\Temp\win3.tmp
C:\WINDOWS\Temp\win33.tmp
C:\WINDOWS\Temp\win34.tmp
C:\WINDOWS\Temp\win35.tmp
C:\WINDOWS\Temp\win36.tmp
C:\WINDOWS\Temp\win38.tmp
C:\WINDOWS\Temp\win3A.tmp
C:\WINDOWS\Temp\win3B.tmp.exe
C:\WINDOWS\Temp\win3C.tmp
C:\WINDOWS\Temp\win3E.tmp
C:\WINDOWS\Temp\win3F.tmp
C:\WINDOWS\Temp\win4.tmp
C:\WINDOWS\Temp\win40.tmp
C:\WINDOWS\Temp\win41.tmp
C:\WINDOWS\Temp\win42.tmp
C:\WINDOWS\Temp\win43.tmp
C:\WINDOWS\Temp\win4A.tmp
C:\WINDOWS\Temp\win5.tmp
C:\WINDOWS\Temp\win52.tmp
C:\WINDOWS\Temp\win59.tmp
C:\WINDOWS\Temp\win5A.tmp
C:\WINDOWS\Temp\win5B.tmp
C:\WINDOWS\Temp\win6.tmp
C:\WINDOWS\Temp\win61.tmp
C:\WINDOWS\Temp\win68.tmp
C:\WINDOWS\Temp\win69.tmp
C:\WINDOWS\Temp\win6A.tmp
C:\WINDOWS\Temp\win7.tmp
C:\WINDOWS\Temp\win8.tmp
C:\WINDOWS\Temp\win9.tmp
C:\WINDOWS\Temp\winA.tmp
C:\WINDOWS\Temp\winB.tmp
C:\WINDOWS\Temp\winB.tmp.exe
C:\WINDOWS\Temp\winC.tmp
C:\WINDOWS\Temp\winD.tmp
C:\WINDOWS\Temp\winE.tmp
C:\WINDOWS\Temp\winEC.tmp
C:\WINDOWS\Temp\winED.tmp
C:\WINDOWS\Temp\winEE.tmp
C:\WINDOWS\Temp\winEF.tmp
C:\WINDOWS\Temp\winF.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den report vom avenger, der erscheint

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe

PC neustarten

**
smitfraudfix anwenden (poste beide scanreporte)
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
Loesche manuell:

C:\Temp\plugtmp
C:\Temp\plugtmp-1
C:\Temp\~nsu.tmp
C:\Temp\NI.UWA6PU_0001_N62M3012
C:\Temp\VBE

Verzeichnis von C:\Programme\Common Files\Companion Wizard
08.07.2006 01:53 <DIR> Companion Wizard

**
Counterspy
http://virus-protect.org/counterspy.html
nach dem scan stelle alles auf #remove# und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#44 Vundofix:

C:\windows\system32\pmnnopo.dll
C:\windows\system32\ssqpopp.dll
C:\windows\system32\vtutq.dll
C:\windows\system32\qtutv.ini
C:\windows\system32\qtutv.bak1
C:\windows\system32\qtutv.bak2
----------------------------------------------------------------------------
Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ljtlectb

*******************

Script file located at: \??\C:\Program Files\jkefqall.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC
Status: 0xc0000034

File C:\WINDOWS\system32\qtutv.ini deleted successfully.


File C:\WINDOWS\system32\qomkiig.dll not found!
Deletion of file C:\WINDOWS\system32\qomkiig.dll failed!

Could not process line:
C:\WINDOWS\system32\qomkiig.dll
Status: 0xc0000034



File C:\WINDOWS\system32\regperf.exe not found!
Deletion of file C:\WINDOWS\system32\regperf.exe failed!

Could not process line:
C:\WINDOWS\system32\regperf.exe
Status: 0xc0000034

File C:\WINDOWS\system32\nvapps.xml deleted successfully.
File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\qtutv.bak1 deleted successfully.
File C:\WINDOWS\system32\vtutq.dll deleted successfully.
File C:\WINDOWS\system32\ssqpopp.dll deleted successfully.
File C:\WINDOWS\system32\winhab32.dll deleted successfully.


File C:\Temp\aa0d_appcompat.txt deleted successfully.

Could not process line:
C:\Temp\aa0d_appcompat.txt
Status: 0xc0000034



File C:\Temp\wa6Support.log deleted successfully.

Could not process line:
C:\Temp\wa6Support.log
Status: 0xc0000034



File C:\Temp\~DF2180.tmp deleted successfully.

Could not process line:
C:\Temp\~DF2180.tmp
Status: 0xc0000034



File C:\Temp\~DF464A.tmp deleted successfully.

Could not process line:
C:\Temp\~DF464A.tmp
Status: 0xc0000034



File C:\Temp\~DF5444.tmp deleted successfully.

Could not process line:
C:\Temp\~DF5444.tmp
Status: 0xc0000034



File C:\Temp\~DF811E.tmp deleted successfully.

Could not process line:
C:\Temp\~DF811E.tmp
Status: 0xc0000034



File C:\Temp\~DFEB16.tmp deleted successfully.

Could not process line:
C:\Temp\~DFEB16.tmp
Status: 0xc0000034



File C:\Temp\~wa6psetup.exe deleted successfully.

Could not process line:
C:\Temp\~wa6psetup.exe
Status: 0xc0000034



Could not open file C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe for deletion
Deletion of file C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe failed!

Could not process line:
C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
Status: 0xc000003a

File C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N62M3012NetInstaller.exe deleted successfully.


File C:\WINDOWS\system32\fwsvc.sys not found!
Deletion of file C:\WINDOWS\system32\fwsvc.sys failed!

Could not process line:
C:\WINDOWS\system32\fwsvc.sys
Status: 0xc0000034



File C:\WINDOWS\Temp\OA.exe deleted successfully.

Could not process line:
C:\WINDOWS\Temp\OA.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\removalfile.bat deleted successfully.

Could not process line:
C:\WINDOWS\Temp\removalfile.bat
Status: 0xc0000034

File C:\WINDOWS\Temp\win1.tmp deleted successfully.
File C:\WINDOWS\Temp\win3.tmp deleted successfully.
File C:\WINDOWS\Temp\win1.tmp deleted successfully.
File C:\WINDOWS\Temp\win10.tmp deleted successfully.
File C:\WINDOWS\Temp\win11.tmp deleted successfully.
File C:\WINDOWS\Temp\win12.tmp deleted successfully.
File C:\WINDOWS\Temp\win13.tmp deleted successfully.
File C:\WINDOWS\Temp\win14.tmp deleted successfully.
File C:\WINDOWS\Temp\win15.tmp deleted successfully.
File C:\WINDOWS\Temp\win16.tmp deleted successfully.
File C:\WINDOWS\Temp\win17.tmp deleted successfully.
File C:\WINDOWS\Temp\win17.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win18.tmp deleted successfully.
File C:\WINDOWS\Temp\win19.tmp deleted successfully.
File C:\WINDOWS\Temp\win1A.tmp deleted successfully.
File C:\WINDOWS\Temp\win1B.tmp deleted successfully.
File C:\WINDOWS\Temp\win1C.tmp deleted successfully.
File C:\WINDOWS\Temp\win1D.tmp deleted successfully.
File C:\WINDOWS\Temp\win1E.tmp deleted successfully.
File C:\WINDOWS\Temp\win1F.tmp deleted successfully.
File C:\WINDOWS\Temp\win2.tmp deleted successfully.
File C:\WINDOWS\Temp\win20.tmp deleted successfully.
File C:\WINDOWS\Temp\win21.tmp deleted successfully.
File C:\WINDOWS\Temp\win22.tmp deleted successfully.
File C:\WINDOWS\Temp\win23.tmp deleted successfully.
File C:\WINDOWS\Temp\win24.tmp deleted successfully.
File C:\WINDOWS\Temp\win25.tmp deleted successfully.
File C:\WINDOWS\Temp\win26.tmp deleted successfully.
File C:\WINDOWS\Temp\win2C.tmp deleted successfully.
File C:\WINDOWS\Temp\win2D.tmp deleted successfully.
File C:\WINDOWS\Temp\win3.tmp deleted successfully.
File C:\WINDOWS\Temp\win33.tmp deleted successfully.
File C:\WINDOWS\Temp\win34.tmp deleted successfully.
File C:\WINDOWS\Temp\win35.tmp deleted successfully.
File C:\WINDOWS\Temp\win36.tmp deleted successfully.
File C:\WINDOWS\Temp\win38.tmp deleted successfully.
File C:\WINDOWS\Temp\win3A.tmp deleted successfully.
File C:\WINDOWS\Temp\win3B.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win3C.tmp deleted successfully.
File C:\WINDOWS\Temp\win3E.tmp deleted successfully.
File C:\WINDOWS\Temp\win3F.tmp deleted successfully.
File C:\WINDOWS\Temp\win4.tmp deleted successfully.
File C:\WINDOWS\Temp\win40.tmp deleted successfully.
File C:\WINDOWS\Temp\win41.tmp deleted successfully.
File C:\WINDOWS\Temp\win42.tmp deleted successfully.
File C:\WINDOWS\Temp\win43.tmp deleted successfully.
File C:\WINDOWS\Temp\win4A.tmp deleted successfully.
File C:\WINDOWS\Temp\win5.tmp deleted successfully.
File C:\WINDOWS\Temp\win52.tmp deleted successfully.
File C:\WINDOWS\Temp\win59.tmp deleted successfully.
File C:\WINDOWS\Temp\win5A.tmp deleted successfully.
File C:\WINDOWS\Temp\win5B.tmp deleted successfully.
File C:\WINDOWS\Temp\win6.tmp deleted successfully.
File C:\WINDOWS\Temp\win61.tmp deleted successfully.
File C:\WINDOWS\Temp\win68.tmp deleted successfully.
File C:\WINDOWS\Temp\win69.tmp deleted successfully.
File C:\WINDOWS\Temp\win6A.tmp deleted successfully.
File C:\WINDOWS\Temp\win7.tmp deleted successfully.
File C:\WINDOWS\Temp\win8.tmp deleted successfully.
File C:\WINDOWS\Temp\win9.tmp deleted successfully.
File C:\WINDOWS\Temp\winA.tmp deleted successfully.
File C:\WINDOWS\Temp\winB.tmp deleted successfully.
File C:\WINDOWS\Temp\winB.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\winC.tmp deleted successfully.
File C:\WINDOWS\Temp\winD.tmp deleted successfully.
File C:\WINDOWS\Temp\winE.tmp deleted successfully.
File C:\WINDOWS\Temp\winEC.tmp deleted successfully.
File C:\WINDOWS\Temp\winED.tmp deleted successfully.
File C:\WINDOWS\Temp\winEE.tmp deleted successfully.
File C:\WINDOWS\Temp\winEF.tmp deleted successfully.
File C:\WINDOWS\Temp\winF.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
------------------------------------------------------------------------------
HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 20:20:57, on 09.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\pmnnopo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A6DDCF85-727C-46C3-92BD-18DC48FB7FB3} - C:\WINDOWS\system32\vtutq.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Global Startup: X-Chat 2.lnk = C:\Programme\X-Chat 2\xchat.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED070AC7-5636-4C81-9295-D129E7B62492}: NameServer = 134.106.40.3,134.106.49.2
O20 - Winlogon Notify: pmnnopo - C:\WINDOWS\SYSTEM32\pmnnopo.dll
O20 - Winlogon Notify: qomkiig - qomkiig.dll (file missing)
O20 - Winlogon Notify: vtutq - C:\WINDOWS\system32\vtutq.dll (file missing)
O20 - Winlogon Notify: winhab32 - winhab32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
----------------------------------------------------------------------------

Smitfraud:

SmitFraudFix v2.68b

Scan done at 20:53:48,92, 09.07.2006
Run from C:\Dokumente und Einstellungen\spooky\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\spooky\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\spooky\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
----------------------------------------------------------------------------

Counterspy:

Spyware Scan Details
Start Date: 09.07.2006 20:38:49
End Date: 09.07.2006 21:29:31
Total Time: 50 mins 42 secs

Detected spyware

IST.ISTbar Browser Hijacker more information...
Details: ISTbar is an Internet Explorer Hijacker, which modifies your homepages and searches without a user’s consent using an Internet Explorer toolbar.
Status: Deleted

Infected files detected
c:\delus.bat


war*hier nicht!* P2P Adware Bundler more information...
Details: war*hier nicht!* P2P is a file sharing program that bundles adware/spyware including HyperBar, StartNow, and New.Net.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler\Clsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler\Clsid {3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!*_Query protocol
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!* Of2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!* Of1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\warep\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\warep\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL:war*hier nicht!* protocol
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!* URL Protocol
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wareo\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wareo\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler\Clsid {3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*.DocHostUIHandler Implements DocHostUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\war*hier nicht!*\shell\open\command "C:\Programme\war*hier nicht!* P2P Client\war*hier nicht!*.exe" "%L"


Adw.BestOffersNetworks.IDTheftRadar Adware more information...
Details: Adw.BestOffersNetworks.IDTheftRadar purports to help guard against identity theft. This application alone does not present a Thread, but is installed with several adware Thread.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32 C:\PROGRA~1\war*hier nicht!*~1\war*hier nicht!*.exe
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID war*hier nicht!*.DocHostUIHandler
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} Implements DocHostUIHandler

#45 sp00ky

1.
Gehe in die registry
bearbeiten - suchen - WinAntiVirus Pro 2006 - loesche alles, was du findest !

2.
wende bei smitfraud.fix die Option 2 an, damit die malware nicht nur erkannt, sondern auch geloescht wird !!

3.
kopiere in den Avenger:

Zitat

Files to delete:
C:\WINDOWS\system32\pmnnopo.dll

gruene Ampel- PC neustarten

4.
fixe mit dem HijackThis:

Zitat

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\pmnnopo.dll
O2 - BHO: (no name) - {A6DDCF85-727C-46C3-92BD-18DC48FB7FB3} - C:\WINDOWS\system32\vtutq.dll (file missing)

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O20 - Winlogon Notify: pmnnopo - C:\WINDOWS\SYSTEM32\pmnnopo.dll
O20 - Winlogon Notify: qomkiig - qomkiig.dll (file missing)
O20 - Winlogon Notify: vtutq - C:\WINDOWS\system32\vtutq.dll (file missing)
O20 - Winlogon Notify: winhab32 - winhab32.dll (file missing)

PC neustarten

5.
poste noch mal die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit