Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
02.08.2006, 22:31
Ehrenmitglied
Beiträge: 29434 |
||
|
||
03.08.2006, 13:42
Member
Beiträge: 13 |
#107
Hallo Sabina,
ich hab Mist gebaut, war etwas zu schnell mit dem in Abgesicherten Modus starten und habe daher den Avenger Log nicht mehr. Was soll ich machen um da wieder dran zu kommen? Hier die Auswertung vom Spyware Scan mit CouterSpy: Spyware Scan Details Start Date: 03.08.2006 11:45:49 End Date: 03.08.2006 13:29:13 Total Time: 1 hrs 43 mins 24 secs Detected spyware NetPumper Adware Bundler more information... Details: Bundles with a number of adware components. Status: Deleted Infected files detected c:\dokumente und einstellungen\stephan.gizzmo.001\anwendungsdaten\netpumper\stephan.ini Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro\Firstrun state 2 HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro state 2 HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro pkid lemildi HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro alid lemildi HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro iid {1FB023EF-82C7-4C59-BA41-2871BBCC28CA} HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper VersionInfo srmRny83UksASqE3L24cc-BLldNa86g++fJgAujn3ERa2A7cUKZ6EIRRo6RZZS6EBHLmeJ98 VI7CZG453N82453Ln7f-fhu4j0ony8eRCXoFwrS9d6PiGR4JqU8EoEdslj3Dwcju40stxe+LtRMCtOpQp WKMJtVNYVo5wQ-UvWqxXhDKvCK+2Vfe5l08mn15E4nQaa-C4UQc HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B} HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E} HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib Version 1.2 HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B} IAddUrl HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000} HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E} HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib Version 1.2 HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000} IAddPackage HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib {F7258F6E-9F60-49C0-8C82-F0A0993D68E0} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib Version 1.0 HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} INetscapeInterface HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0} HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\0\win32 d:\NetPumper\NetPumperNNProxy.dll HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\HELPDIR d:\NetPumper\ HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0 NetPumperNNProxy Library HKEY_CURRENT_USER\Software\NetPumper HKEY_CURRENT_USER\Software\NetPumper\stephan Field1 356379860 HKEY_CURRENT_USER\Software\NetPumper\stephan Field2 654996921 HKEY_CURRENT_USER\Software\NetPumper\stephan Field3 1282532412 HKEY_CURRENT_USER\Software\NetPumper\stephan Field4 1475139413 AntiLeech Plugin Adware (General) more information... Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software. Status: Deleted Infected files detected C:\Programme\Mozilla Firefox\plugins\al2np.dll Unclassified.Spyware.Loader Adware (General) more information... Details: Spyware.Loader is spyware that is set to automatically start when Windows loads up by hiding itself in a number of different startup locations. Status: Deleted Infected files detected D:\AI - Series\insthlp.dat Fake Back Orifice 0.41 Trojan more information... Status: Deleted Infected files detected E:\Downloads\Treiber\Teledat2ab\Linux\CAPI4Linux\fc-generic-1.06a.tar\ capi4linux\src.c4lutils\capiinfo\aclocal.m4 E:\Downloads\Treiber\Teledat2ab\Linux\ CAPI4Linux\fc-generic-1.06a.tar\capi4linux\src.c4lutils\capiinit\aclocal.m4 WhenU.Save Adware (General) more information... Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing. Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\wusn.1 HKEY_CLASSES_ROOT\wusn.1 WUSN_Id WhenU.WhenUSearch Low Risk Adware more information... Details: WhenU.WhenUSearch is a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism. Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\WUSN.1 HKEY_CLASSES_ROOT\WUSN.1 WUSN_Id WindUpdates.MediaGateway Adware (General) more information... Details: WindUpdates.MediaGateway is an adware application that displays advertising on the desktop, usually pop-ups. Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller\CLSID {144B9C7E-235A-4316-9EB3-5E393714C77A} HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller\CurVer MediaGateway.LicenseInstaller.1 HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller LicenseInstaller Class Zango.CommonElements Adware (General) more information... Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\LMgr180.WMDRMAx.1 HKEY_CLASSES_ROOT\LMgr180.WMDRMAx.1\CLSID {F31A5D11-BF0B-4A4E-90AF-274F2090AAA6} HKEY_CLASSES_ROOT\LMgr180.WMDRMAx.1 WMDRMAx Class Trojan.WinlogonHook.Delf.A Trojan more information... Details: WinlogonHook.Delf.A is a backdoor trojan that gives an attacker the ability to control the infected machine without the user's knowledge. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Data 95824242 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Brnd 779 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Rid 141 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LID 34 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SCLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR MSLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BPTV 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR OCCUR 1 Trojan-Downloader.Win32.VB.ahc Trojan Downloader more information... Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Security Security HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Enum 0 Root\LEGACY_XPROTECTOR\0000 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Enum Count 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Enum NextInstance 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR Type 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR Start 2 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR ErrorControl 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR ImagePath \??\C:\WINDOWS\system32\drivers\XPROTECTOR.SYS HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR DisplayName XPROTECTOR Gruß, Moshroom |
|
|
||
03.08.2006, 15:37
Ehrenmitglied
Beiträge: 29434 |
#108
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) XPROTECTOR in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.08.2006, 19:14
Member
Beiträge: 13 |
#109
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 03.08.2006 19:12:20 for strings: ; 'xprotector' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR\0000] "Service"="XPROTECTOR" "DeviceDesc"="XPROTECTOR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR\0000] "Service"="XPROTECTOR" "DeviceDesc"="XPROTECTOR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR] ; Contents of value: ; \??\c:\windows\system32\drivers\xprotector.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,64,72,69,76,65,72,73,5c,58,50,52,4f,54,45,43,54,4f,52,2e,53,59,\ 53,00 "DisplayName"="XPROTECTOR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR\0000] "Service"="XPROTECTOR" "DeviceDesc"="XPROTECTOR" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR\0000\LogConf] ; End Of The Log... |
|
|
||
03.08.2006, 22:51
Ehrenmitglied
Beiträge: 29434 |
#110
Moshroom
Avenger: Zitat registry keys to delete:poste das log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 06:46
Member
Beiträge: 13 |
#111
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\knoqfgxn ******************* Script file located at: \??\C:\WINDOWS\lyxaofwv.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR Status: 0xc0000034 File c:\windows\system32\drivers\xprotector.sys deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
04.08.2006, 11:54
Ehrenmitglied
Beiträge: 29434 |
#112
Moshroom
1. mache einen Onlinescan mit Ewido und mit Bitdefender - ScanOnline neu (poste die reporte) http://virus-protect.org/onlinescan.html 2. poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2006, 04:12
Member
Beiträge: 13 |
#113
Hm, das hat gedauert. Also hier erstmal der Ewido:
__________________________________________________ Name: Adware.180Solutions Path: HKU\S-1-5-21-1343024091-789336058-2147197619-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\ {EA0D26BD-9029-431A-86E0-83152D67828A} Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.20:C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Mozilla\Firefox\Profiles\default.54q\cookies.txt Risk: Medium Name: TrackingCookie.Adition Path: :mozilla.20:C:\Dokumente und Einstellungen\skasdorf.GIZZMO\Anwendungsdaten\Mozilla\Firefox\Profiles\meoxvrl9.default\cookies.txt Risk: Medium Name: Trojan.Proxcrak.A Path: E:\Downloads\Apps\DownloadTool\patchGETRIght4.5c.exe Risk: High Name: Trojan.Proxcrak.A Path: E:\Downloads\Apps\GetRight\patchGETRIght4.5c.exe Risk: High Name: Trojan.Proxcrak.A Path: E:\Downloads\Apps\GetRight\patchGETRIght4.5c.exe Risk: High Dann der BitDefender: BitDefender Online Scanner C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0015 Infected with: Trojan.Dloader.HK C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0015 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0015 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0016 Infected with: Dropped:Application.Adware.NewDotNet.A C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0016 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0016 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0017 Infected with: Trojan.Dropper.Small.JH C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0017 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0017 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0025 Infected with: Trojan.Downloader.Wren.D C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0025 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0025 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0017 Infected with: Trojan.Dloader.HK C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0017 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0017 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0018 Infected with: Dropped:Application.Adware.NewDotNet.A C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0018 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0018 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0021 Infected with: Trojan.Dropper.Small.JH C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0021 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0021 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0015 Infected with: Trojan.Dloader.HK C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0015 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0015 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0016 Infected with: Dropped:Application.Adware.NewDotNet.A C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0016 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0016 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0017 Infected with: Trojan.Dropper.Small.JH C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0017 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0017 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0025 Infected with: Trojan.Downloader.Wren.D C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0025 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0025 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0017 Infected with: Trojan.Dloader.HK C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0017 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0017 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0018 Infected with: Dropped:Application.Adware.NewDotNet.A C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0018 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0018 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0021 Infected with: Trojan.Dropper.Small.JH C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0021 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0021 Deleted C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0018 Infected with: Trojan.Dloader.HK C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0018 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0018 Deleted C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe Update failed C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0019 Infected with: Dropped:Application.Adware.NewDotNet.A C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0019 Disinfection failed C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0019 Deleted C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe Update failed C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16)=>[Subject: W32.Klez.E removal tools][Date: Mon, 22 Jul 2002 08:39:02 +0200 (DST)]=>(MIME part)=>setup.exe Infected with: Win32.Klez.H@mm C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16)=>[Subject: W32.Klez.E removal tools][Date: Mon, 22 Jul 2002 08:39:02 +0200 (DST)]=>(MIME part)=>setup.exe Deleted C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16)=>[Subject: W32.Klez.E removal tools][Date: Mon, 22 Jul 2002 08:39:02 +0200 (DST)]=>(MIME part) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx Update failed C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19)=>[Subject: A special humour game][Date: Wed, 17 Jul 2002 12:11:29 +0200]=>(MIME part)=>install.exe Infected with: Win32.Klez.H@mm C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19)=>[Subject: A special humour game][Date: Wed, 17 Jul 2002 12:11:29 +0200]=>(MIME part)=>install.exe Deleted C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19)=>[Subject: A special humour game][Date: Wed, 17 Jul 2002 12:11:29 +0200]=>(MIME part) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx Update failed C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20)=>[Subject: Undeliverable mail--"cbc, cbf"][Date: Wed, 17 Jul 2002 16:54:34 +0200 (DST)]=>(MIME part)=>BGCOLOR.scr Infected with: Win32.Klez.H@mm C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20)=>[Subject: Undeliverable mail--"cbc, cbf"][Date: Wed, 17 Jul 2002 16:54:34 +0200 (DST)]=>(MIME part)=>BGCOLOR.scr Deleted C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20)=>[Subject: Undeliverable mail--"cbc, cbf"][Date: Wed, 17 Jul 2002 16:54:34 +0200 (DST)]=>(MIME part) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx Update failed C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30)=>[Subject: A very new website][Date: Sat, 13 Jul 2002 16:23:59 +0200]=>(MIME part)=>width.bat Infected with: Win32.Klez.H@mm C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30)=>[Subject: A very new website][Date: Sat, 13 Jul 2002 16:23:59 +0200]=>(MIME part)=>width.bat Deleted C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30)=>[Subject: A very new website][Date: Sat, 13 Jul 2002 16:23:59 +0200]=>(MIME part) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30) Updated C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx Update failed C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ javainstaller.jar-5aa0b436-6a558f26.zip Infected with: Trojan.Downloader.Java.Openstream.W C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ javainstaller.jar-5aa0b436-6a558f26.zip Disinfection failed C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\ jar\javainstaller.jar-5aa0b436-6a558f26.zip Deleted E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6 ja_20040901_BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=> mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part)=>(message body) Infected with: Exploit.HTML.Iframe.FileDownload.E E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_20040901_ BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=> mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part)=>(message body) Disinfection failed E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_200409 01_BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(g zip)=>mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part)=>(message body) Deleted E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman- 2.1.5-6ja_20040901_BQ1.src.rpm=>mailman -2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part) Updated E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman- 2.1.5-6ja_20040901_BQ1.src.rpm=>m ailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests /msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part) Updated E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_20040901_BQ 1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip )=>mailman-2.1.5/tests/msgs/nimda.txt Updated E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-20 04122501.iso=>SRPMS/mailman-2.1.5-6ja_20040901_BQ1.src.rpm=>mailman-2.1.5 -6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip) Updated E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja _20040901_BQ1.src.rpm=> mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz Updated E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_ 20040901_BQ1.src.rpm=>mailman -2.1.5-6ja_20040901_BQ1.gz=>(gzip) Updated E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1 .5-6ja_20040901_BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz Updated E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman -2.1.5-6ja_20040901_BQ1.src.rpm Update failed E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0147 Infected with: Trojan.Mirchack.A E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0147 Disinfection failed E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0147 Deleted E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o) Update failed E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0159 Infected with: Backdoor.Irc.Lambot.G E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0159 Disinfection failed E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0159 Deleted E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o) Update failed E:\System Volume Information\_restore{994182DF-42DF-410C-A5E4-73367948100E}\RP138\A0022160.exe Infected with: Trojan.Downloader.INService.Gen E:\System Volume Information\_restore{994182DF-42DF-410C-A5E4-73367948100E}\RP138\A0022160.exe Disinfection failed E:\System Volume Information\_restore{994182DF-42DF-410C-A5E4-73367948100E}\RP138\A0022160.exe Neuer Hijackthis log ------------------- Logfile of HijackThis v1.99.1 Scan saved at 03:02:15, on 05.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\FSI\F-Prot\fpavupdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\TBPanel.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\PROGRA~1\MOZILL~2\FIREFOX.EXE C:\Programme\Windows NT\HYPERTRM.EXE C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Desktop\antiVirus\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://germanitas-obscura.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151160629975 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Win2k3NodeDisabler - Unknown owner - C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Desktop\X3ReunionUKDVD\Tools\Win2k3NodeDisabler\ Win2k3NodeDisabler.exe (file missing) MfG, Moshroom |
|
|
||
05.08.2006, 12:10
Ehrenmitglied
Beiträge: 29434 |
#114
Moshroom
0. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 1. ueberpruefe, ob das komplett geloscht ist: C:\Programme\TGTSoftBAK E:\Downloads\Apps\DownloadTool E:\Downloads\Apps\gIRC 2. so kann man die Mails restlos aus der Inbox zu entfernen: 1. Mail aus Inbox löschen 2. Mülleimer leeren 3. Inbox komprimieren (Datei-Menü) Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {EA0D26BD-9029-431A-86E0-83152D67828A} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Win2k3NodeDisabler in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2006, 17:06
Member
Beiträge: 13 |
#115
1.) Die Verzeichnisse habe ich gelöscht bis auf TGTSoftBAK, das sind Backups von mir. Da habe teilweise Projekte reingespeichert und die wollte ich eigentlich nicht nochmal programmieren. Aber wenn es tröstet ich hab die fertig kompilierten *.exe Dateien aus dem Ordner gelöscht und werde die dann bei Gelegenheit neu kompilieren.
2.) Die Mailbox ist aufgeräumt. 3.) ein mal -------- REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 05.08.2006 16:45:15 for strings: ; '{ea0d26bd-9029-431a-86e0-83152d67828a}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... zwei mal -------- REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 05.08.2006 16:47:27 for strings: ; 'regedit4 ; registry search 2.0 by bobbi flekman © 2005 ; version: 2.0.1.0 ; results at 05.08.2006 16:45:15 for strings: ; '{ea0d26bd-9029-431a-86e0-83152d67828a}' ; strings excluded from search: ; (none) ; search in: ; registry keys registry values registry data ; hkey_local_machine hkey_users win2k3nodedisabler ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Thanks Moshroom |
|
|
||
05.08.2006, 20:17
Ehrenmitglied
Beiträge: 29434 |
#116
Moshroom
nun gut, es ist alles wieder o.k. , bist entlassen, komm wieder, wenn es Probleme gibt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2006, 23:24
Member
Beiträge: 13 |
#117
S U P E R ! ! !
Mein System hängt nicht mehr, ist viel angenehmer so. Dickes Danke und grosses Lob und wenn ich wieder nen bischen Kohle in der Tasche habe, werde ich dass auf jeden Fall zu würdigen wissen. Gruß, Moshroom |
|
|
||
16.08.2006, 00:33
...neu hier
Beiträge: 8 |
#118
Hallo!!!
Ich habe leider auch das Problem und bevor ich mein PC neu machen soll. Versuch ich es mal hier...vielleicht könnt ihr mir helfen. Wäre toll. ------------------------------------------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 00:29:36, on 16.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe E:\Programme\D-Tools\daemon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\{EC6ABA6F-0A71-1031-0816-020208060031}\Update.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE E:\Programme\BirthdayRemember\BirthdayRemember.exe C:\WINDOWS\system32\ctfmon.exe E:\Programme\Teledat\IWatch.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\xampp\apache\bin\apache.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE E:\Programme\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\svchost.exe E:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\TEMP\win4.tmp.exe E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE E:\PROGRAMME\FIREFOX\FIREFOX.EXE G:\Download\Anti Virus\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/ O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU" O4 - HKCU\..\Run: [BirthdayRemember6] "E:\Programme\BirthdayRemember\BirthdayRemember.exe" "autostart" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [boneshow] C:\DOKUME~1\Admin\ANWEND~1\LIVEMF~1\FileVga.exe O4 - Global Startup: ISDNWatch.lnk = E:\Programme\Teledat\IWatch.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Outlook\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120806754637 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A94E21AE-E7A3-42CF-A2EB-172E994933AD}: NameServer = 217.237.149.225 217.237.151.115 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Unknown owner - E:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\PROGRAMME\TELEDAT\de_serv.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - E:\Programme\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: mysql - Unknown owner - E:\Programme\xampp\mysql\bin\mysqld-nt.exe ----------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\WINDOWS\system32 16.08.2006 00:21 311.178 tttss.ini 16.08.2006 00:05 9.596 ModemLog_ISDN Internet (PPP over ISDN).txt 15.08.2006 13:22 9.022 ModemLog_ISDN Custom Config.txt 15.08.2006 12:49 308.309 tttss.bak2 15.08.2006 12:48 2.206 wpa.dbl 14.08.2006 00:11 143 mcrh.tmp 09.08.2006 17:51 0 cool.exe 06.08.2006 23:49 43.520 CmdLineExt03.dll 06.08.2006 23:41 267.990 tttss.bak1 06.08.2006 23:40 573.492 ssttt.dll 06.08.2006 23:32 40.973 iifccyy.dll 06.08.2006 23:32 18.944 winemx32.dll 03.08.2006 03:22 8.255.912 MRT.exe 02.08.2006 02:57 320.094 perfh007.dat 02.08.2006 02:57 314.508 perfh009.dat 02.08.2006 02:57 40.836 perfc009.dat 02.08.2006 02:57 49.174 perfc007.dat 02.08.2006 02:57 729.988 PerfStringBackup.INI 29.07.2006 19:32 48.936 sirenacm.dll 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 23.07.2006 17:16 57.384 avsda.dll 21.07.2006 10:29 72.704 hlink.dll 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 07.07.2006 14:55 155.568 FNTCACHE.DAT 06.07.2006 16:35 455 ws344069.ocx 06.07.2006 16:22 3.176 gafilter.sti 06.07.2006 16:22 4.808 gaeffect.sti 05.07.2006 12:55 1.057.792 kernel32.dll 01.07.2006 14:54 96.256 ATPartners.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 23.06.2006 13:10 664.576 wininet.dll 23.06.2006 13:10 448.512 mshtmled.dll 23.06.2006 13:10 1.494.016 shdocvw.dll 23.06.2006 13:10 39.424 pngfilt.dll 23.06.2006 13:10 474.624 shlwapi.dll 23.06.2006 13:10 146.432 msrating.dll 23.06.2006 13:10 532.480 mstime.dll 23.06.2006 13:10 1.022.976 browseui.dll 23.06.2006 13:10 16.384 jsproxy.dll 23.06.2006 13:10 251.392 iepeers.dll 23.06.2006 13:10 152.064 cdfview.dll 23.06.2006 13:10 357.888 dxtmsft.dll 23.06.2006 13:10 96.768 inseng.dll 23.06.2006 13:10 205.312 dxtrans.dll 23.06.2006 13:10 55.808 extmgr.dll 23.06.2006 13:10 1.056.256 danim.dll 23.06.2006 10:53 27.136 xpsp3res.dll 22.06.2006 12:47 181.248 rasmans.dll 19.06.2006 16:20 702.768 WgaLogon.dll 19.06.2006 16:19 571.184 LegitCheckControl.dll 19.06.2006 16:19 304.944 WgaTray.exe 01.06.2006 20:47 163.840 jgdw400.dll 01.06.2006 20:47 27.648 jgpl400.dll 19.05.2006 15:09 112.128 dhcpcsvc.dll 19.05.2006 15:09 95.744 iphlpapi.dll 18.05.2006 07:36 450.560 jscript.dll 04.05.2006 14:30 13 WinSys32.crc --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp 16.08.2006 00:05 16.384 Perflib_Perfdata_2728.dat 15.08.2006 12:57 824 jusched.log 15.08.2006 12:47 0 ~8.tmp 14.08.2006 15:17 0 ~6.tmp 14.08.2006 01:36 862 java_install_reg.log 14.08.2006 01:31 0 ~2.tmp 14.08.2006 01:05 42.071 11xp4yto.exe 13.08.2006 20:57 0 ~1.tmp 8 Datei(en) 60.141 Bytes 0 Verzeichnis(se), 12.869.947.392 Bytes frei ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\WINDOWS 15.08.2006 12:48 0 0.log 15.08.2006 12:48 159 wiadebug.log 15.08.2006 12:48 1.989.205 WindowsUpdate.log 15.08.2006 12:47 50 wiaservc.log 15.08.2006 12:47 2.048 bootstat.dat 15.08.2006 01:51 32.402 SchedLgU.Txt 09.08.2006 00:34 30 Iedit.INI 02.08.2006 22:55 821 WINCMD.INI 29.07.2006 17:56 951 win.ini 27.07.2006 23:41 12.862 EPISMG00.SWB 06.07.2006 16:35 326 ULEAD32.INI 06.07.2006 16:20 125 magix.ini 28.06.2006 02:08 116 NeroDigital.ini 22.06.2006 19:16 0 Editor.INI 10.06.2006 14:21 90.112 DUMP9402.tmp 10.06.2006 13:16 90.112 DUMP95a8.tmp 10.06.2006 13:14 90.112 DUMP971f.tmp 10.06.2006 13:13 90.112 DUMP973e.tmp 10.06.2006 13:07 90.112 DUMPa364.tmp 04.05.2006 22:35 339 wcx_ftp.ini ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\ 16.08.2006 00:28 0 sys.txt 16.08.2006 00:27 6.322 system.txt 16.08.2006 00:26 633 systemtemp.txt 15.08.2006 12:47 402.653.184 pagefile.sys 06.07.2006 16:35 457 os466477.bin --------------------------------------------------------------------------- So vielleicht kann jemand damit etwas anfangen. Was muss ich jetzt machen? Danke schon mal für eure hilfe. Gruß LaLaLand |
|
|
||
16.08.2006, 12:24
Ehrenmitglied
Beiträge: 29434 |
#119
LaLaLand
1. Schritt: schreibe mir, welche dll du rechts oder links im Fenster findest: LSPfix http://www.spychecker.com/program/lspfix.html 2. Schritt: poste dieses Log http://virus-protect.org/artikel/tools/combofix.html 3. Schritt: Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.08.2006, 12:41
...neu hier
Beiträge: 8 |
#120
Danke das du mir hilfst.
zu 1. mswsock.dll winrnr.dll NEWDOT~1.DLL rsvpsp.dll Steht alles Links zu 2. Start Time= 16.08.2006 12:40:16,65 Running from: C:\Dokumente und Einstellungen\Admin\Desktop QuickScan did not find any signs of infected files (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-10 00:06:06 ( .D... ) "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype" 2006-08-10 00:05:58 ( .D... ) "C:\Programme\Skype" 2006-08-09 17:51:20 0 ( A.... ) "C:\WINDOWS\system32\cool.exe" 2006-08-09 04:17:00 ( .D... ) "C:\Programme\Livemfcdroad" 2006-08-09 04:16:04 ( .D... ) "C:\Programme\Adverts" 2006-08-06 23:49:42 43520 ( A.... ) "C:\WINDOWS\system32\CmdLineExt03.dll" 2006-08-06 23:40:56 573492 ( ..SH. ) "C:\WINDOWS\system32\ssttt.dll" 2006-08-06 23:32:54 ( .D... ) "C:\Programme\ToolBar888" 2006-08-06 23:32:54 ( .D... ) "C:\Programme\Gemeinsame Dateien\{EC6ABA6F-0A71-1031-0816-020208060031}" 2006-08-06 23:32:32 40973 ( ..SH. ) "C:\WINDOWS\system32\iifccyy.dll" 2006-08-06 23:32:24 18944 ( A.... ) "C:\WINDOWS\system32\winemx32.dll" 2006-07-29 19:32:50 48936 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll" 2006-07-27 15:25:20 679424 ( A.... ) "C:\WINDOWS\system32\inetcomm.dll" 2006-07-23 17:16:30 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll" 2006-07-21 10:29:00 72704 ( A.... ) "C:\WINDOWS\system32\hlink.dll" 2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll" 2006-07-13 15:34:28 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll" 2006-07-05 12:55:22 1057792 ( A.... ) "C:\WINDOWS\system32\kernel32.dll" 2006-07-01 14:54:44 96256 ( A.... ) "C:\WINDOWS\system32\ATPartners.dll" 2006-06-26 19:40:34 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll" 2006-06-26 19:40:34 8192 ( A.... ) "C:\WINDOWS\system32\rasadhlp.dll" 2006-06-19 16:20:42 702768 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll" 2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll" 2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll" 2005-07-08 09:02:22 76 ( A..H. ) "C:\Programme\Desktop.ini" (((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))))))))) 2006-08-09 14:53 0 C:\WINDOWS\system32\cool.exe 2006-08-06 23:48 43.520 C:\WINDOWS\system32\CmdLineExt03.dll 2006-08-06 23:37 573.492 C:\WINDOWS\system32\ssttt.dll 2006-08-06 23:32 40.973 C:\WINDOWS\system32\iifccyy.dll 2006-08-06 23:32 18.944 C:\WINDOWS\system32\winemx32.dll 2006-08-03 01:01 90.112 C:\WINDOWS\unvise32.exe 2006-07-29 19:32 48.936 C:\WINDOWS\system32\sirenacm.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "SoundMan"="SOUNDMAN.EXE" "LVCOMS"="C:\\Programme\\Gemeinsame Dateien\\Logitech\\QCDriver2\\LVCOMS.EXE" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "DAEMON Tools-1033"="\"E:\\Programme\\D-Tools\\daemon.exe\" -lang 1033" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "EPSON Stylus Photo R200 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0H2.EXE /P30 \"EPSON Stylus Photo R200 Series\" /M \"Stylus Photo R200\" /EF \"HKCU\"" "BirthdayRemember6"="\"E:\\Programme\\BirthdayRemember\\BirthdayRemember.exe\" \"autostart\"" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "boneshow"="C:\\DOKUME~1\\Admin\\ANWEND~1\\LIVEMF~1\\FileVga.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoSharedDocuments"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] "{EC6ABA6F-0A71-1031-0816-020208060031}"="\"C:\\Programme\\Gemeinsame Dateien\\{EC6ABA6F-0A71-1031-0816-020208060031}\\Update.exe\" mc-110-12-0000272" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,3e,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Microsoft Office Shortcut-Leiste.lnk] "path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Microsoft Office Shortcut-Leiste.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office Shortcut-Leiste.lnkStartup" "location"="Startup" "command"="E:\\PROGRA~1\\MICROS~1\\Office\\MSOFFICE.EXE " "item"="Microsoft Office Shortcut-Leiste" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Microsoft-Indexerstellung.lnk] "path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Microsoft-Indexerstellung.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft-Indexerstellung.lnkStartup" "location"="Startup" "command"="E:\\PROGRA~1\\MICROS~1\\Office\\FINDFAST.EXE " "item"="Microsoft-Indexerstellung" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Office-Start.lnk] "path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Office-Start.lnk" "backup"="C:\\WINDOWS\\pss\\Office-Start.lnkStartup" "location"="Startup" "command"="E:\\PROGRA~1\\MICROS~1\\Office\\OSA.EXE -b" "item"="Office-Start" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^SmartSurfer.lnk] "path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\SmartSurfer.lnk" "backup"="C:\\WINDOWS\\pss\\SmartSurfer.lnkStartup" "location"="Startup" "command"="E:\\PROGRA~1\\WEBDE\\SMARTS~1.0\\SMARTS~1.EXE -m" "item"="SmartSurfer" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk" "backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup" "location"="Common Startup" "command"="E:\\PROGRA~1\\Logitech\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start" "item"="Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="E:\\PROGRA~1\\MICROS~1\\Office10\\OSA.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="BearShare" "hkey"="HKLM" "command"="\"e:\\Programme\\BearShare\\BearShare.exe\" /pause" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus Photo R200 Series] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="E_S4I0H2" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0H2.EXE /P30 \"EPSON Stylus Photo R200 Series\" /O5 \"LPT1:\" /M \"Stylus Photo R200\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ICQLite" "hkey"="HKLM" "command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msnmsgr" "hkey"="HKCU" "command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TINTSETP" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TINTSETP" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherCast] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Weather" "hkey"="HKCU" "command"="\"C:\\Programme\\WeatherCast\\Weather.exe\" /q" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTouch" "hkey"="HKLM" "command"="E:\\Programme\\Logitech\\iTouch\\iTouch.exe" "inimapping"="0" HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system DisableTaskMgr REG_DWORD 0 (0x0) Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\985C0F89931FD9B9.job Completion time: 16.08.2006 12:40:38,10 ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt zu 3. Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Windows\tasks Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Programme\Gemeinsame Dateien\{EC6ABA6F-0A71-1031-0816-020208060031} 06.08.2006 23:32 <DIR> . 06.08.2006 23:32 <DIR> .. 26.07.2006 15:37 4.608 services.dll 1 Datei(en) 4.608 Bytes 2 Verzeichnis(se), 12.927.107.072 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Windows\System32\Com 11.10.2005 23:51 <DIR> . 11.10.2005 23:51 <DIR> .. 26.07.2005 06:39 195.072 comadmin.dll 18.08.2001 14:00 61.440 comempty.dat 18.08.2001 14:00 77.348 comexp.msc 04.08.2004 00:57 9.728 comrepl.exe 18.08.2001 14:00 5.120 comrereg.exe 18.08.2001 14:00 19.456 mtsadmin.tlb 6 Datei(en) 368.164 Bytes 2 Verzeichnis(se), 12.927.102.976 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\WINDOWS\system32 Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\WINDOWS\Downloaded Program Files 02.08.2005 16:48 495 LegitCheckControl.inf 29.05.2003 16:00 160.864 messengerstatsclient.dll 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 29.05.2003 16:00 84.064 minesweeper.dll 29.05.2003 16:00 77.408 msgrchkr.dll 08.12.2003 13:58 3.759 swflash.inf 11.08.2004 02:22 3.036 wmv9dmo.inf 26.05.2005 04:19 291 wuweb.inf 8 Datei(en) 331.079 Bytes 0 Verzeichnis(se), 12.927.102.976 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Programme\Common Files 09.08.2005 16:45 <DIR> . 09.08.2005 16:45 <DIR> .. 09.08.2005 16:45 <DIR> System 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 12.927.102.976 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\ Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp 16.08.2006 12:40 <DIR> . 16.08.2006 12:40 <DIR> .. 16.08.2006 12:31 16.384 Perflib_Perfdata_dc0.dat 1 Datei(en) 16.384 Bytes 2 Verzeichnis(se), 12.927.102.976 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\WINDOWS\Temp 16.08.2006 12:40 <DIR> . 16.08.2006 12:40 <DIR> .. 16.08.2006 11:13 0 winB.tmp 16.08.2006 11:19 0 winD.tmp 2 Datei(en) 0 Bytes 2 Verzeichnis(se), 12.927.102.976 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\ Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Programme 16.08.2006 00:19 <DIR> . 16.08.2006 00:19 <DIR> .. 10.07.2005 23:32 <DIR> Accoona 09.08.2006 04:16 <DIR> Adverts 18.05.2006 10:56 <DIR> AntiVir PersonalEdition Classic 07.06.2005 22:23 <DIR> ATI Technologies 09.08.2005 16:45 <DIR> Common Files 07.06.2005 22:11 <DIR> ComPlus Applications 22.04.2006 16:14 <DIR> CyberLink 09.06.2005 17:04 <DIR> directx 10.08.2005 17:23 <DIR> eMPIA 10.08.2005 17:23 <DIR> EMUSB2.0 22.05.2006 16:27 <DIR> EPSON 26.07.2005 19:07 <DIR> EPSON Print CD 09.08.2006 18:43 <DIR> Gemeinsame Dateien 02.11.2005 19:23 <DIR> ICQLite 10.08.2006 01:07 <DIR> Internet Explorer 20.02.2006 23:33 <DIR> Java 17.03.2006 02:00 <DIR> JavaSoft 09.08.2006 04:16 <DIR> Livemfcdroad 09.08.2006 21:23 <DIR> Macrogaming 03.11.2005 23:03 <DIR> Messenger 07.06.2005 22:15 <DIR> microsoft frontpage 10.06.2005 17:48 <DIR> Microsoft Visual Studio 10.08.2005 17:10 <DIR> Movie Maker 07.06.2005 22:11 <DIR> MSN Gaming Zone 14.08.2006 00:58 <DIR> MSN Messenger 10.11.2005 01:24 <DIR> MSNTools 02.03.2006 21:05 <DIR> MySQL 20.08.2005 17:59 <DIR> NetMeeting 04.10.2005 03:02 <DIR> NewDotNet 07.06.2005 22:13 <DIR> Online-Dienste 18.04.2006 00:37 <DIR> Outlook Express 10.08.2006 00:05 <DIR> Skype 05.10.2005 19:20 <DIR> SP2 Connection Patcher 07.07.2005 21:06 <DIR> TGTSoft 06.08.2006 23:32 <DIR> ToolBar888 18.02.2006 18:25 <DIR> Windows Media Player 10.08.2005 17:08 <DIR> Windows NT 03.03.2006 01:48 <DIR> xampp 07.06.2005 22:15 <DIR> xerox 0 Datei(en) 0 Bytes 41 Verzeichnis(se), 12.927.098.880 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten 10.07.2005 21:30 <DIR> Ahead 06.08.2006 19:52 28.672 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 21.07.2006 00:25 35.528 GDIPFONTCACHEV1.DAT 02.08.2005 03:17 <DIR> GHISLER 02.03.2006 03:04 <DIR> Help 07.06.2005 22:58 <DIR> Identities 09.08.2006 03:40 <DIR> Microsoft 05.12.2005 02:53 <DIR> Mozilla 14.09.2005 14:27 <DIR> Pixoria 27.07.2005 21:23 <DIR> Teledat 12.03.2006 02:26 <DIR> WMTools Downloaded Files 2 Datei(en) 64.200 Bytes 9 Verzeichnis(se), 12.927.098.880 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Dokumente und Einstellungen\Admin\Anwendungsdaten 23.10.2005 20:28 <DIR> BirthdayRemember 09.08.2006 04:17 <DIR> Close Curb Safe 21.04.2006 01:06 <DIR> CyberLink 03.11.2005 03:05 <DIR> Desktop Sidebar 09.08.2005 02:31 <DIR> DMCache 07.06.2005 22:29 <DIR> Help 02.11.2005 19:20 <DIR> ICQLite 07.06.2005 22:21 <DIR> Identities 03.03.2006 02:45 <DIR> Itsth 09.08.2006 04:18 <DIR> Livemfcdroad 08.06.2005 17:02 <DIR> Macromedia 03.03.2006 02:26 9.356 Microsoft Excel.EML 09.08.2005 03:26 <DIR> Mozilla 25.06.2006 23:23 <DIR> My Games 03.03.2006 00:05 <DIR> MySQL 04.05.2006 22:06 <DIR> PSpad 08.07.2005 03:00 <DIR> Real 11.08.2006 23:45 <DIR> Skype 09.03.2006 05:19 <DIR> Star-Tools 24.10.2005 01:59 <DIR> Sun 07.06.2005 22:42 <DIR> T-Online 09.08.2005 04:19 <DIR> Talkback 27.07.2005 21:23 <DIR> Teledat 12.01.2006 20:55 <DIR> Ulead Systems 22.04.2006 16:17 <DIR> vlc 30.07.2005 04:13 <DIR> WEBDE 1 Datei(en) 9.356 Bytes 25 Verzeichnis(se), 12.927.098.880 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 17.02.2006 01:21 305 addr_file.html 16.08.2006 12:31 <DIR> AntiVir PersonalEdition Classic 22.04.2006 16:14 <DIR> CyberLink 22.05.2006 15:52 <DIR> eachsettings1five 11.10.2005 20:13 <DIR> QuickTime 16.08.2006 12:34 <DIR> Show sect stupid anti 02.03.2006 04:04 <DIR> T-Online 10.08.2006 23:59 <DIR> Teledat 27.07.2005 21:16 <DIR> UDL 12.01.2006 20:54 <DIR> Ulead Systems 10.08.2005 20:54 <DIR> Windows Genuine Advantage 1 Datei(en) 305 Bytes 10 Verzeichnis(se), 12.927.094.784 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: EC6A-BA6F Verzeichnis von C:\Programme\Gemeinsame Dateien 09.08.2006 18:43 <DIR> . 09.08.2006 18:43 <DIR> .. 14.09.2005 02:28 <DIR> Adobe 08.06.2005 20:28 <DIR> Ahead 10.06.2005 17:48 <DIR> DESIGNER 07.06.2005 22:12 <DIR> Dienste 18.07.2005 20:35 <DIR> InstallShield 24.10.2005 01:04 <DIR> Java 10.08.2005 03:22 <DIR> Logitech 10.08.2005 03:18 <DIR> Microsoft Shared 07.06.2005 22:12 <DIR> MSSoap 07.06.2005 23:06 <DIR> ODBC 08.07.2005 02:58 <DIR> Real 07.06.2005 23:06 <DIR> SpeechEngines 31.01.2006 18:02 <DIR> SWF Studio 18.04.2006 00:37 <DIR> System 02.03.2006 17:05 <DIR> Wise Installation Wizard 08.07.2005 02:58 <DIR> xing shared 06.08.2006 23:32 <DIR> {EC6ABA6F-0A71-1031-0816-020208060031} 0 Datei(en) 0 Bytes 19 Verzeichnis(se), 12.927.094.784 Bytes frei |
|
|
||
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Zitat
Klicke die gruene Ampeldas Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
poste das log vom avenger, was erscheint
**
http://virus-protect.org/invisible.html
Versteckte- und Systemdateien sichtbar machen
boote in den abgesicherten modus (F8 druecken, wenn der Rechner hochfaehrt)
loesche:
D:\Programme\DAEMON Tools -> desinstallieren
D:\TPC\pc.exe
C:\Programme\Save -> desinstallieren
D:\NetPumper
C:\\Programme\WhenUSearch -> desinstallieren
C:\Programme\Anti-Leech -> desinstallieren
C:\Programme\NewDotNet -> desinstallieren
C:\Program Files\Zango Programs
C:\Programme\Gemeinsame Dateien\Totem Shared
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Keepfastbaitrdr
C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\TRAYBO.....-> ist nicht die komplette Bezeichnung)
**
boote wieder in den normalmodus
**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)
**
scanne mit counterspy , poste dann den report, vergiss nicht, vorher alles gefundene auf "remove" zu andern
http://virus-protect.org/counterspy.html
__________
MfG Sabina
rund um die PC-Sicherheit