Trojaner Win32.Puper.BO (SpyFalcon)

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.02.2006, 17:53
Member

Beiträge: 85
#1 Hallo,
mir wird gemeldet das ich Trojaner auf dem PC habe, kann sie aber nicht löschen.
Hier meine HijackThis Liste:

Logfile of HijackThis v1.99.1
Scan saved at 17:50:58, on 27.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\mssearchnet.exe
H:\WINDOWS\system32\nvctrl.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
H:\Programme\Java\jre1.5.0_04\bin\jusched.exe
H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
H:\Programme\QuickTime\qttask.exe
H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
H:\Programme\Logitech\SetPoint\KEM.exe
H:\Programme\WinZip\WZQKPICK.EXE
H:\Programme\Logitech\SetPoint\KHALMNPR.EXE
H:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
H:\Programme\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
H:\Programme\ewido\security suite\ewidoctrl.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
H:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
H:\Programme\AntiVir PersonalEdition Classic\avscan.exe
H:\Programme\Opera\opera.exe
H:\Programme\HijackThis.exe

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - H:\WINDOWS\system32\hp610B.tmp
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - H:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [EM_EXEC] H:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ToADiMon.exe] H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Yahoo! Pager] "H:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [BD] "H:\DOKUME~1\Melanie\LOKALE~1\Temp\RarSFX1\fast.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = H:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - H:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - H:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - H:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - H:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86A3BC59-606E-43CF-97C4-1800E8E80F5A}: NameServer = 217.237.150.97 217.237.150.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - H:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - H:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hoffe ihr könnt mir helfen.
LG
Nelli
Seitenanfang Seitenende
27.02.2006, 18:19
Member

Beiträge: 96
#2 Hallo nelli73.
Willkommen im Forum.

Du hast (wie du schon gemerkt hast) einen Trojaner auf deinem Computer.

Wenn es um das löschen geht, solltest du die Killbox nehmen

http://virus-protect.org/killbox.html

Beachte dabei die Beschreibung, die du dort findest.

Lösche die Datei: H:\WINDOWS\system32\nvctrl.exe

Fixe auch noch mit HijackThis:

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - H:\WINDOWS\system32\hp610B.tmp

Poste danach bitte nochmal dein HijackThis-Logfile.
__________
Mfg Aicalico
Dieser Beitrag wurde am 27.02.2006 um 18:28 Uhr von Aicalico editiert.
Seitenanfang Seitenende
27.02.2006, 18:41
Member

Themenstarter

Beiträge: 85
#3 Hallo
Der Trojaner lässt sich nicht einfach so löschen, wechselt immer seinen namen.
Hier die neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:39:46, on 27.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\mssearchnet.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
H:\Programme\Java\jre1.5.0_04\bin\jusched.exe
H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
H:\Programme\QuickTime\qttask.exe
H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
H:\Programme\Logitech\SetPoint\KEM.exe
H:\Programme\WinZip\WZQKPICK.EXE
H:\Programme\Logitech\SetPoint\KHALMNPR.EXE
H:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
H:\Programme\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
H:\Programme\ewido\security suite\ewidoctrl.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\Programme\Opera\opera.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
H:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
H:\Programme\HijackThis.exe

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - H:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [EM_EXEC] H:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ToADiMon.exe] H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Yahoo! Pager] "H:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [BD] "H:\DOKUME~1\Melanie\LOKALE~1\Temp\RarSFX1\fast.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = H:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - H:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - H:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - H:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - H:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86A3BC59-606E-43CF-97C4-1800E8E80F5A}: NameServer = 217.237.150.97 217.237.150.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - H:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - H:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe

LG
Nelli
Seitenanfang Seitenende
27.02.2006, 18:43
Member

Beiträge: 96
#4 Nelli könntest du mir mal erleutern was dir den Trojaner meldet!

Außerdem ist er im HijackThis-Log nicht mehr zu sehen.


Wenn du den anderen meinst:

H:\WINDOWS\system32\mssearchnet.exe

Auch mit der Killbox löschen.

Cleanup! Anleitung und download:

http://virus-protect.org/cleanup.html

Danach mit allen 4 scannen und Report posten.

http://virus-protect.org/multiavtool.html


Versuch auch noch im abgesicherten Modus mit Ewido zu scannen

http://virus-protect.org/ewido.html
__________
Mfg Aicalico
Dieser Beitrag wurde am 27.02.2006 um 19:27 Uhr von Aicalico editiert.
Seitenanfang Seitenende
27.02.2006, 20:26
Member

Themenstarter

Beiträge: 85
#5 Ich brauch immernoch hilfe, bekomm den Trojaner nicht gelöscht.
Wär nett wenn ihr mir helfen könnt.
LG
Nelli
Seitenanfang Seitenende
27.02.2006, 22:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Aicalico - lass bitte dieses Flicken ...fixe dies, fixe jenes...loesche dies..loesche jenes... da ist der SpyAxe oder ein anderes Faketool drauf.. --> hp610B.tmp http://board.protecus.de/t20820.htm

-------------------------------------------------------------------------

nelli73
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2006, 22:58
Member

Themenstarter

Beiträge: 85
#7 Volume in Laufwerk H: hat keine Bezeichnung.
Volumeseriennummer: 782A-5E54

Verzeichnis von H:\WINDOWS\system32

27.02.2006 21:55 5.060 ncompat.tlb
27.02.2006 21:49 31.767 vsconfig.xml
27.02.2006 21:48 28.173 ld8A6D.tmp
27.02.2006 18:28 6.144 msvol.tlb
27.02.2006 12:11 4.286 ts.ico
27.02.2006 12:11 4.286 ot.ico
27.02.2006 06:59 15.561 dfrgsrv.exe
20.02.2006 13:29 2.206 wpa.dbl
25.01.2006 04:34 118.784 sirenacm.dll
18.01.2006 13:05 57.344 avsda.dll
28.12.2005 15:19 2.715 qtplugin.log

Volume in Laufwerk H: hat keine Bezeichnung.
Volumeseriennummer: 782A-5E54

Verzeichnis von H:\DOKUME~1\Melanie\LOKALE~1\Temp

27.02.2006 22:52 16.384 Perflib_Perfdata_59c.dat
27.02.2006 22:51 206 jusched.log
2 Datei(en) 16.590 Bytes
0 Verzeichnis(se), 9.973.882.880 Bytes frei


Volume in Laufwerk H: hat keine Bezeichnung.
Volumeseriennummer: 782A-5E54

Verzeichnis von H:\WINDOWS

27.02.2006 22:52 1.139 win.ini
27.02.2006 22:51 54.156 QTFont.qfn
27.02.2006 21:49 0 0.log
27.02.2006 21:49 159 wiadebug.log
27.02.2006 21:49 50 wiaservc.log
27.02.2006 21:47 2.048 bootstat.dat
27.02.2006 21:45 878 WindowsUpdate.log
27.02.2006 20:59 111.578 ntbtlog.txt
27.02.2006 20:57 32.622 SchedLgU.Txt
27.02.2006 16:42 3.018 TM.INI
27.02.2006 16:40 41 tdf.dii
27.02.2006 13:33 1.409 QTFont.for
23.02.2006 21:43 1.247 pstudio.ini
09.02.2006 17:50 116 NeroDigital.ini
12.01.2006 17:54 285 MP3Org.ini
12.01.2006 17:44 252 cdplayer.ini
12.01.2006 16:10 231 system.ini
21.12.2005 18:37 142 homeDVD-Fotos2_5.INI


Volume in Laufwerk H: hat keine Bezeichnung.
Volumeseriennummer: 782A-5E54

Verzeichnis von H:\

27.02.2006 22:57 0 sys.txt
27.02.2006 22:57 5.352 system.txt
27.02.2006 22:56 356 systemtemp.txt
27.02.2006 22:54 99.950 system32.txt
27.02.2006 21:47 402.653.184 pagefile.sys
Seitenanfang Seitenende
28.02.2006, 11:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nelli73

öffne das HijackThis -- Button "scan" -- vor EintrAg Häkchen setzen -- Button "Fix checked"

O4 - HKCU\..\Run: [BD] "H:\DOKUME~1\Melanie\LOKALE~1\Temp\RarSFX1\fast.exe"
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab

-----------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

H:\WINDOWS\system32\ncompat.tlb
H:\WINDOWS\system32\vsconfig.xml
H:\WINDOWS\system32\ld8A6D.tmp
H:\WINDOWS\system32\msvol.tlb
H:\WINDOWS\system32\ts.ico
H:\WINDOWS\system32\ot.ico
H:\WINDOWS\system32\dfrgsrv.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite alles ab, was hier geschrieben steht...dann berichte ;)
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.02.2006, 19:41
Member

Themenstarter

Beiträge: 85
#9 Hallo Sabina,
hab alles gemacht was du mir gesagt hast.


eTrust hat das noch gefunden:
Win32.Puper.BO Trojan
Trojan "Win32.Puper.BO" gefunden in:
key "hkey_classes_root \hp"
key "hkey_classes_root \hp.1"
Weitere Infos
TrojanDownloader.Win32.Zlob.ad Downloader
Downloader "TrojanDownloader.Win32.Zlob.ad" gefunden in:
key "hkey_classes_root \nvideocodek.chl"

LG
Nelli
Seitenanfang Seitenende
28.02.2006, 20:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Start --> Ausfeuhren --> regedit

bearbeiten --> suchen --> hp / hp.1 / nvideocodek

hkey_classes_root\hp <--loeschen
hkey_classes_root\hp.1 <--loeschen
hkey_classes_root\nvideocodek.chl <--loeschen

PC neustarten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.03.2006, 09:21
Member

Themenstarter

Beiträge: 85
#11 Hallo Sabina,
hab alles gemacht was du mir geschrieben hast.
Mein Virenscanner und eTrust zeigt nichts mehr an, gehe davon aus das alles weg ist.
Puhh, ein glück. Du hast es mal wieder geschafft.
Vielen vielen Dank
LG
Nelli
Seitenanfang Seitenende