WORM/VB.DW Antivir kann nicht entfernen

#0
22.03.2006, 12:18
Member

Beiträge: 12
#16 Hi, ich hab auch diesen Wurm WORM/VB.DW auf meinem System, hier meine Logfiles...


LOG1
Verzeichnis von C:\WINDOWS\system32

22.03.2006 12:01 17.145 nvapps.xml
22.03.2006 12:01 234.174 guard.tmp

22.03.2006 11:53 23.412 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 23.412 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 18.672 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 18.672 BMXState-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 2.056 settings.sfm
22.03.2006 11:53 2.056 settingsbkup.sfm

22.03.2006 11:53 24 DVCState-{00000000-00000000-0000000A-00001102-00000004-00531102}.dat
22.03.2006 11:53 24 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000004-00531102}.dat
22.03.2006 11:52 236.234 m228lcfu1f28.dll
21.03.2006 23:48 234.174 p2n8lc5u1f.dll
21.03.2006 22:09 687.592 atmtd.dll._
21.03.2006 22:09 687.592 atmtd.dll
21.03.2006 22:04 32.768 setup.exe.tmp
21.03.2006 22:04 62.464 bszip.dll
21.03.2006 22:03 0 tracert.com
21.03.2006 22:03 0 cmd.com
21.03.2006 22:03 0 regedit.com
21.03.2006 22:03 0 tasklist.com
21.03.2006 22:03 0 taskkill.com
21.03.2006 22:03 0 netstat.com
21.03.2006 22:03 0 ping.com

18.03.2006 18:08 13.646 wpa.dbl
08.02.2006 23:15 203.328 FNTCACHE.DAT
05.02.2006 20:04 2 RICHTX.DEP
05.02.2006 20:02 16.832 amcompat.tlb
05.02.2006 20:02 23.392 nscompat.tlb
04.02.2006 21:31 45 initdebug.nfo
01.02.2006 10:09 155.648 WMIMPLEX.dll
01.02.2006 10:09 36.864 maplec.dll
18.01.2006 13:05 57.344 avsda.dll
14.01.2006 17:11 1.766 Playboy Screensaver.002
19.12.2005 18:30 23.412 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 23.412 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 18.672 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 18.672 BMXState-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 24 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000004-00401102}.dat
19.12.2005 18:30 24 DVCState-{00000000-00000000-0000000A-00001102-00000004-00401102}.dat
13.12.2005 07:13 176.167 rmoc3260.dll
13.12.2005 07:13 5.632 pndx5032.dll
13.12.2005 07:13 6.656 pndx5016.dll
13.12.2005 07:13 278.528 pncrt.dll
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 56.320 pxinsa64.exe


LOG2
Verzeichnis von C:\DOKUME~1\HANSBL~1\LOKALE~1\Temp

22.03.2006 12:01 2.089.678 jar_cache28662.tmp
22.03.2006 12:01 218 TB2OverwriteHandler.log
22.03.2006 12:01 110 newtb1handler.log
22.03.2006 12:01 222 jusched.log


LOG3
Verzeichnis von C:\WINDOWS

22.03.2006 11:54 0 keyboard41.dat
22.03.2006 11:54 0 0.log
22.03.2006 11:54 159 wiadebug.log
22.03.2006 11:54 50 wiaservc.log
22.03.2006 11:53 2.048 bootstat.dat
22.03.2006 11:52 57.922 WindowsUpdate.log
22.03.2006 11:39 911.387 setupapi.log
21.03.2006 22:05 43 drsmartload2.dat
21.03.2006 22:05 578.560 Installer.exe
21.03.2006 22:05 0 dh.ini
21.03.2006 22:05 0 newname.dat
21.03.2006 22:05 45.056 newname4.exe
21.03.2006 22:05 65.536 mousepad4.exe
21.03.2006 22:05 40 teller2.chk
21.03.2006 22:05 20.480 keyboard4.exe

21.03.2006 21:21 116 NeroDigital.ini
21.03.2006 17:56 37.711 wmsetup.log
16.03.2006 17:45 2.202 scummvm.ini
13.02.2006 00:48 435 system.ini
13.02.2006 00:48 498 win.ini
13.02.2006 00:44 361.274 ntbtlog.txt
08.02.2006 18:52 874 ODBC.INI
06.02.2006 21:04 187.297 setupact.log
06.02.2006 12:39 24.443 Hans Bliss8.xlb
05.02.2006 18:38 33 quark.ini
26.01.2006 22:03 107.132 UninstallFirefox.exe
26.01.2006 22:02 5.669 mozver.dat
23.01.2006 20:35 29 ACDILab.INI
23.01.2006 18:23 12.265 vpd.properties
22.01.2006 22:36 2.359.350 Firefox Wallpaper.bmp
19.01.2006 16:21 9.728 Hans Bliss.pcb
14.01.2006 18:58 5.322 Norton Utilities.log
14.01.2006 18:56 1.743 SYMINST.LOG
11.01.2006 22:35 324 wmsetup10.log
11.01.2006 22:34 316.640 WMSysPr9.prx
08.01.2006 20:26 32 wininit.ini
03.01.2006 17:45 1.989 uninstall_nmon.vbs
13.12.2005 07:15 1.947 cdplayer.ini
13.12.2005 07:04 724.992 iun6002.exe


LOG4
Verzeichnis von C:\

22.03.2006 12:03 0 sys.txt
22.03.2006 12:03 7.215 system.txt
22.03.2006 12:03 458 systemtemp.txt
22.03.2006 12:03 106.263 system32.txt
22.03.2006 11:53 536.399.872 hiberfil.sys
22.03.2006 11:53 805.306.368 pagefile.sys
21.03.2006 22:05 299.624 WHCC2.exe
21.03.2006 22:05 28.672 drsmartload1.exe

13.02.2006 00:48 211 boot.ini
20.01.2006 15:05 0 ________


Bei mir öffnet sich ständig ungefragt Firefox mit irgendwelchen doofen Werbeseiten, unter anderem T-Com Werbung

Wäre schön, wenn ihr mir helfen könntet...
Vielen Dank im Vorraus...

Gruß Blans

Ach ja, hier noch mein HijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:21:43, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Network Monitor\netmon.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\mousepad4.exe
C:\Programme\Free Download Manager\fdm.exe

C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Hans Bliss\Desktop\HijackThis.exe
C:\WINDOWS\system32\HPBPRO.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard4.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad4.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname4.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [mouf] C:\PROGRA~1\GEMEIN~1\mouf\moufm.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WEB.DE Quick-Start.lnk = ?
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131656735984
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p2n8lc5u1f.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe


Außerdem hat AntiVir noch die folgenden Trojaner gefunden:
TR/Click.Small.JF.1
TR/Dldr.VB.NA

Habt ihr betreffend diese auch noch Infos?
__________
Die Antwort: 42
Dieser Beitrag wurde am 22.03.2006 um 12:25 Uhr von Blans editiert.
Seitenanfang Seitenende
22.03.2006, 12:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Blans

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]
1.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\winlog.exe
C:\WINDOWS\system32\settings.sfm
C:\WINDOWS\system32\settingsbkup.sfm
C:\WINDOWS\system32\m228lcfu1f28.dll
C:\WINDOWS\system32\p2n8lc5u1f.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\keyboard41.dat
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\drivers\netpt.sys
C:\Programme\Toolbar888\ToolBar888.dll
C:\PROGRA~1\GEMEIN~1\mouf\moufm.exe
C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\0.log
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\Installer.exe
C:\WINDOWS\dh.ini
C:\WINDOWS\newname.dat
C:\WINDOWS\newname4.exe
C:\WINDOWS\mousepad4.exe
C:\WINDOWS\teller2.chk
C:\WINDOWS\keyboard4.exe
C:\WHCC2.exe
C:\drsmartload1.exe

PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard4.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad4.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname4.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [mouf] C:\PROGRA~1\GEMEIN~1\mouf\moufm.exe

O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p2n8lc5u1f.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

4.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen !

-------------------------------------------------------------------------------------------------

5.
l2mfix --> Option 2 klicken, den PC neustarten --> nach neustart und scan (abwarten !)--> poste den scanreport
http://virus-protect.org/l2mfix.html

6.
deinstallieren-loeschen
C:\Programme\Toolbar888
C:\Programme\BearShare
C:\Programme\Free Download Manager
C:\Programme\Network Monitor
C:\Programme\PartyGaming.net

C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M <--loeschen
C:\Programme\Gemeiname Dateien\mouf <--loeschen

7.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

8.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

9.
scanne mit ewido und poste den scanbericht
http://virus-protect.org/ewido.html

10.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2006, 13:37
Member

Beiträge: 12
#18 Hier der I2mfix report:


L2mfix 032106
Creating Account.
Der Befehl wurde erfolgreich ausgefhrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 408 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 484 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1660 'explorer.exe'
Killing PID 1660 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful
e
Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{89B73688-9B27-447B-891A-78708ACBBB02}"=-
[-HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
zip warning: name not matched: dlls\*.*

zip error: Nothing to do! (backup.zip)
adding: backregs/89B73688-9B27-447B-891A-78708ACBBB02.reg (188 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
adding: backregs/shell.reg (164 bytes security) (deflated 51%)
__________
Die Antwort: 42
Seitenanfang Seitenende
22.03.2006, 14:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 gut...nun arbeite noch alles andere ab ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2006, 15:08
Member

Beiträge: 12
#20 hier der ewido scan, der counterspy kommt als nächstes...

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:07:48, 22.03.2006
+ Report-Checksumme: AE6FFCD5

+ Scanergebnis:


F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@y-1shz2prbmdj6wvny-1sez2pra2dj6wfk4kldzocogmdj6x9ny-1seq-2-2.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@y-1shz2prbmdj6wvny-1sez2pra2dj6wjk4wjcjglpwmdj6x9ny-1seq-2-2.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
F:\backup c\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Gain_Trickler.exe -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\CMESys.exe -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GController.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GIocl.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GObjs.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GStore.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\Programme\Gemeinsame Dateien\CMEII\Gtools.dll -> Adware.Gator : Gesäubert mit Backup
F:\backup c\WINDOWS\Coder\_1-k24-1-0-.exe -> Dialer.Generic : Gesäubert mit Backup


::Report Ende




Und hier ist der Counterspy-Report:

Spyware Scan Details
Start Date: 22.03.2006 15:11:26
End Date: 22.03.2006 16:04:59
Total Time: 53 mins 33 secs

Detected spyware

KaZaA P2P Program more information...
Details: Kazaa is a Peer to Peer file sharing application that uses some adware advertising as well as installs a number of thrid party adware software on your computer.
Status: Quarantined

Infected files detected
c:\programme\kazaa\db\ctx4-051016.cab
c:\programme\kazaa\db\data1024.dbb
c:\programme\kazaa\db\data256.dbb
c:\programme\kazaa\db\k7tqkgkk_tssv125.dat
c:\programme\kazaa\db\np.tmp
c:\programme\kazaa\db\ova4-051106.cab
c:\programme\kazaa\db\tss4.cab
c:\programme\kazaa\my shared folder\kazaa267_de.exe

Infected registry entries detected
HKEY_CURRENT_USER\Software\Kazaa\Advanced
HKEY_CURRENT_USER\Software\Kazaa\Advanced Status Installed
HKEY_CURRENT_USER\software\kazaa
HKEY_CURRENT_USER\software\kazaa\Advanced Status Installed
HKEY_CURRENT_USER\software\kazaa\Promotions\Broadband BBDbLoc C:\Programme\Kazaa\Db\bb.db
HKEY_CURRENT_USER\software\kazaa\Promotions\Broadband NullImageLoc C:\Programme\Kazaa\broadband.gif
HKEY_CURRENT_USER\software\kazaa\Promotions\Broadband NullImageLoc2 C:\Programme\Kazaa\broadband2.gif
HKEY_CURRENT_USER\software\kazaa\Settings +
HKEY_CURRENT_USER\software\kazaa\Settings Date
HKEY_CURRENT_USER\software\kazaa\Settings UseCount 0
HKEY_CURRENT_USER\software\kazaa\Transfer +
HKEY_CURRENT_USER\software\kazaa\Transfer NoUploadLimitWhenIdle 1
HKEY_CURRENT_USER\software\kazaa\UserDetails +
HKEY_CURRENT_USER\software\kazaa Tmp 0
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking SlowInfoCache
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking Changed 0


Need2Find.Toolbar Toolbar more information...
Details: Need2Find.Toolbar is an IE plugin with its own Search Field.
Status: Quarantined

Infected registry entries detected
HKEY_CLASSES_ROOT\MSIEDe1egate.Application.2
HKEY_CLASSES_ROOT\MSIEDe1egate.Application.2\CLSID {0002DF01-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\MSIEDe1egate.Application.2 Internet Exp1orer (Ver 1.18284)
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner test "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Home C:\Program Files\Altnet\Points Manager\Points Manager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Points "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Redeem "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 2
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Wallet "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 3
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Settings "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 4
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar pid KC
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Dir C:\Programme\Need2Find\bar\
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar ShzmCurInstall 1
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar CurInstall 1
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar sr 0
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar pl 7
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Id 2DE0EF30-190B-44C9-AAA6-623A652288FC
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Build 141.47251
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar CacheDir C:\Programme\Need2Find\bar\Cache\
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Visible 1


Need2FindBar Adware more information...
Status: Quarantined

Infected files detected
C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\Need2Find
HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner test "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1
HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Home C:\Program Files\Altnet\Points Manager\Points Manager.exe
HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Points "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1
HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Redeem "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 2
HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Wallet "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 3
HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Settings "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 4
HKEY_LOCAL_MACHINE\Software\Need2Find\bar pid KC
HKEY_LOCAL_MACHINE\Software\Need2Find\bar Dir C:\Programme\Need2Find\bar\
HKEY_LOCAL_MACHINE\Software\Need2Find\bar ShzmCurInstall 1
HKEY_LOCAL_MACHINE\Software\Need2Find\bar CurInstall 1
HKEY_LOCAL_MACHINE\Software\Need2Find\bar sr 0
HKEY_LOCAL_MACHINE\Software\Need2Find\bar pl 7
HKEY_LOCAL_MACHINE\Software\Need2Find\bar Id 2DE0EF30-190B-44C9-AAA6-623A652288FC
HKEY_LOCAL_MACHINE\Software\Need2Find\bar Build 141.47251
HKEY_LOCAL_MACHINE\Software\Need2Find\bar CacheDir C:\Programme\Need2Find\bar\Cache\
HKEY_LOCAL_MACHINE\Software\Need2Find\bar Visible 1


Twain Tech Adware more information...
Details: Twain-Tech is an adware based Internet Explorer browser helper object that deliver targeted ads based on a user’s browsing patters. Twain-Tech does not provide any other relevant purpose other then to display pop-up ads.
Status: Deleted

Infected files detected
c:\windows\smdat32a.sys
c:\windows\smdat32m.sys


TargetSaver Trojan Downloader more information...
Details: TargetSaver is a process run at Windows startup, which opens pop-ups.
Status: Quarantined

Infected files detected
c:\windows\system32\tsuninst.exe

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA DisplayName TSA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA UninstallString C:\WINDOWS\system32\tsuninst.exe /u


Freeprod Toolbar more information...
Details: Freeprod installs a Internet Explorer Toolbar, often bundled with other potentially unwanted software.
Status: Quarantined

Infected files detected
c:\dokumente und einstellungen\hans bliss\desktop\freeprodtb.exe
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe

Infected registry entries detected
HKEY_CURRENT_USER\Software\Director
HKEY_CURRENT_USER\Software\Director Affid mc-110-12-0000140
HKEY_CURRENT_USER\Software\Director BaseURL http://www.maxifiles.com/director
HKEY_CURRENT_USER\Software\Director Uid 5bd9f7d8-7fad-468e-bbde-7f9e6358a192
HKEY_CURRENT_USER\Software\Director Request 22/3/2006 2:51:56
HKEY_CURRENT_USER\Software\XBTB04715


Claria.GAIN.CommonElements Adware more information...
Details: Claria's GAIN network consists of several applications inlcuding Gator eWallet, GotSmiley, ScreenSeenes, WebSecureAlert, DashBar, Weatherscope, Date Manager and Precision Time.
Status: Deleted

Infected files detected
F:\backup c\Programme\Gemeinsame Dateien\CMEII\store\core\appmgrgui.zip
F:\backup c\Programme\Gemeinsame Dateien\CMEII\store\core\hfixcfg


BearShare P2P Program more information...
Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Quarantined

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library


WhenU.SaveNow Adware more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Quarantined

Infected registry entries detected
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\clsid
HKEY_CLASSES_ROOT\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\curver
HKEY_CLASSES_ROOT\runmsc.loader\curver RunMSC.Loader.1
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class


eXact.BargainBuddy Adware more information...
Details: BargainBuddy is a Browser Helper Object that watches the pages your browser requests and the terms you enter into a search engine web form. If a term matches a preset list of sites or keywords, BargainBuddy will display an ad.
Status: Quarantined

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}\iexplore Type 3
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}\iexplore Count 176
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}\iexplore Time


InternetOffers Adware more information...
Details: InternetOffers displays popup advertisements with no attribution and installs without consent.
Status: Quarantined

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA UninstallString C:\WINDOWS\System32\tsuninst.exe /u
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA DisplayName TSA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA DisplayName TSA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA UninstallString C:\WINDOWS\system32\tsuninst.exe /u


Maxifiles.Director Adware more information...
Details: Maxifiles.Director is a trojan which downloads adware-related files from various Web sites.
Status: Quarantined

Infected registry entries detected
HKEY_CURRENT_USER\Software\Director
HKEY_CURRENT_USER\Software\Director Affid mc-110-12-0000140
HKEY_CURRENT_USER\Software\Director BaseURL http://www.maxifiles.com/director
HKEY_CURRENT_USER\Software\Director Uid 5bd9f7d8-7fad-468e-bbde-7f9e6358a192
HKEY_CURRENT_USER\Software\Director Request 22/3/2006 2:51:56


DNSCatcher Adware more information...
Status: Quarantined

Infected registry entries detected
HKEY_CURRENT_USER\Software\Director BaseURL http://www.maxifiles.com/director


TheBestOffersNetworks.Kazaa Adware more information...
Details: TheBestOffersNetworks.Kazaa is Adware installed with the Kazaa file-sharing software.
Status: Quarantined

Infected registry entries detected
HKEY_CURRENT_USER\Software\tbon
HKEY_CURRENT_USER\Software\tbon AUI3d5OfSDist 212|4|0|0|KAZAA.EXE


CmdService Adware more information...
Details: CmdService is an adware application that opens pop-ups and displays various types of advertising on the user's desktop while browsing web pages.
Status: Quarantined

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} Contact Customer Support Department
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} DisplayName Command
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} DisplayVersion 1.0.1
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} NoModify 1
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} NoRemove 0
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} NoRepair 1
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} UninstallString wscript "C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\m3IRwV1pvJLDsZ00kAUDwag.vbs"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies {645FF040-5081-101B-9F08-00AA002F954E} 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies {6BF52A52-394A-11D3-B153-00C04F79FAA6} 6
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} Contact Customer Support Department
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayName Network Monitor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayVersion 6.0.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoModify 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRemove 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRepair 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} UninstallString wscript "C:\WINDOWS\uninstall_nmon.vbs"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRepair 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRemove 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoModify 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayVersion 6.0.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayName Network Monitor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} Contact Customer Support Department


StartPage.TimesSquare Adware more information...
Details: StartPage.TimesSquare hijacks the IE start page and search pages and displays ads.
Status: Quarantined

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main Default_Search_URL http://searchbar.findthewebsiteyouneed.com
HKEY_LOCAL_MACHINE\SOFTWARE\Policies {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}


ZQuest.newfrn Adware more information...
Status: Quarantined

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DH
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DH 0


BestOffersNetwork Adware more information...
Status: Quarantined

Infected registry entries detected
HKEY_CURRENT_USER\Software\tbon
HKEY_CURRENT_USER\Software\tbon AUI3d5OfSDist 212|4|0|0|KAZAA.EXE


Monet Trojan Downloader more information...
Status: Quarantined

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} Contact Customer Support Department
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayName Network Monitor
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayVersion 6.0.1
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoModify 1
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRemove 0
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRepair 1
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} UninstallString wscript "C:\WINDOWS\uninstall_nmon.vbs"


VIELEN DANK FÜR ALLES, ICH WEISS GAR NICHT WIE ICH DIE DANKEN SOLL SABINA...
OHNE DICH WÄR MEIN SYSTEM VERLOREN GEWESEN...

GRUß BLANS
__________
Die Antwort: 42
Dieser Beitrag wurde am 22.03.2006 um 16:25 Uhr von Blans editiert.
Seitenanfang Seitenende
22.03.2006, 19:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Blans

1.
scanne noch mal mit Counterspy...bis alles sauber bleibt.

2.
dann mache einen Onlinescan mit panda + poste den scareport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2006, 01:57
Member

Beiträge: 12
#22 Pandascan-Report:


Incident Status Location

Adware:adware/maxifiles Not disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet

Adware:adware/savenow Not disinfected Windows Registry

Potentially unwanted tool:application/altnet Not disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\ALTNETDM

Adware:adware/sqwire Not disinfected Windows Registry

Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@2o7[2].txt

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@as1.falkag[2].txt

Spyware:Cookie/FindtheWebsiteYouNeed Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@www.findthewebsiteyouneed[1].txt

Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.2o7.net/]

Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.adtech.de/]

Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.mediaplex.com/]

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.as-eu.falkag.net/]

Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.questionmarket.com/]

Spyware:Cookie/SexList Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.sexlist.com/]

Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.cs.sexcounter.com/]

Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.statcounter.com/]

Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.sextracker.com/]

Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[counter15.sextracker.com/]

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[sel.as-eu.falkag.net/]

Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.advertising.com/]

Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.tradedoubler.com/]

Spyware:Cookie/Advnt Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[www.advnt01.com/]

Spyware:Cookie/Rn11 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.rn11.com/]

Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.errorsafe.com/]

Spyware:Cookie/WinFixer Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.winfixer.com/]

Spyware:Cookie/Maxserving Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.maxserving.com/]

Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.realmedia.com/]

Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.atwola.com/]

Spyware:Cookie/Hbmediapro Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.adopt.hbmediapro.com/]

Spyware:Cookie/Tucows Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.tucows.com/]

Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.xiti.com/]

Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[fe.lea.lycos.de/]

Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.apmebf.com/]

Spyware:Cookie/GoStats Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.gostats.com/]

Spyware:Cookie/Cd Freaks Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.cdfreaks.com/]

Spyware:Cookie/Cd Freaks Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.club.cdfreaks.com/]

Spyware:Cookie/Cd Freaks Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.cdfreaks.com/]

Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.belnk.com/]

Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[]

Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@2o7[2].txt

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@as1.falkag[2].txt

Spyware:Cookie/FindtheWebsiteYouNeed Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@www.findthewebsiteyouneed[1].txt

Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Desktop\ANTIVR;SPY;ETC\l2mfix\Process.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Desktop\ANTIVR;SPY;ETC\l2mfix.exe[Process.exe]

Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5B405A8A-825C-42B6-AD4F-E1594C\597E22F6-9B8B-49B1-91EE-8F526F

Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@888[1].txt

Spyware:Cookie/Cassava Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@cassava[1].txt

Spyware:Cookie/FindtheWebsiteYouNeed Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@www.findthewebsiteyouneed[2].txt

Spyware:Cookie/Maxserving Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Profiles\default\w2bjxvmg.slt\cookies.txt[]

Spyware:Cookie/Gorillanation Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@ads.gorillanation[2].txt

Spyware:Cookie/Atwola Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@atwola[2].txt

Spyware:Cookie/go Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@go[1].txt

Virus:Bck/Dumador.CU Disinfected F:\backup c\WINDOWS\system32\drivers\etc\hosts

Virus:Trj/Citifraud.A Disinfected Lokale Ordner\inka\Please update your e-Bay account information\~0000001.~

Virus:Trj/Citifraud.A Disinfected Lokale Ordner\web.de\Please update your e-Bay account information\~0000001.~



Nochmals Danke...
__________
Die Antwort: 42
Dieser Beitrag wurde am 23.03.2006 um 02:05 Uhr von Blans editiert.
Seitenanfang Seitenende
23.03.2006, 11:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Blans

1.
C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet--> loeschen

C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@www.findthewebsiteyouneed[1].txt
C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@www.findthewebsiteyouneed[2].txt

2.
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

3.
Hoster.zip--> einfach 'Restore Original Hosts - klicken und fertig
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

4.
lade den Firefox und surfe nur noch mit ihm (der IE bleibt fuer die WindowsUpdates)
http://virus-protect.org/firefox.html

------------------------------------------------------------------------------------

Lokale Ordner\web.de\Please update your e-Bay account information

...hier bist du wahrscheinlich auf einen Betrueger reingefallen, der eventuell nun deine Zugangsdaten zu ebay besitzt..ueberpruefe mal, ob mit deinem ebay-Account alles in Ordnung ist.
+
poste das neue Log vom HijackThis zur Ueberpruefung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2006, 12:16
Member

Beiträge: 12
#24 Zu 4. Eigentlich benutz ich nur noch den Firefox, nur werden halt dummerweise manche Seiten nicht korrekt angezeigt... deswegen benutz ich hin und wieder den IE...

und auf den eBay-Betrüger bin ich nicht reingefallen, ich hab nur vergessen die mail zu löschen... Sicherheitshalber hab ich mein PW aber geändert...

Und hier der HijackThis-Log

Logfile of HijackThis v1.99.1
Scan saved at 12:02:13, on 23.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Hans Bliss\Desktop\ANTIVR;SPY;ETC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t22265-lastpage.htm
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WEB.DE Quick-Start.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131656735984
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe

Vielen Dank nochmal...
__________
Die Antwort: 42
Seitenanfang Seitenende
23.03.2006, 14:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 es ist alles wieder in Ordnung ;)

Fixe noch mit dem HijackThis:

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

- ewido und Counterspy sind ist 14 Tage free... nicht vergessen....
- Windows Defender (free)
http://virus-protect.org/ms.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2006, 15:57
Member

Beiträge: 12
#26 Sabina

Alles klar...
Vielen Dank nochmal, ich hab dir über PayPal ein kleines Dankeschön zukommen lassen...
Bis zum nächsten Virus...
Gruß Blans
__________
Die Antwort: 42
Seitenanfang Seitenende
02.04.2006, 12:20
...neu hier

Beiträge: 5
#27 ok ich habe mir auch diesen Virus eingefangen und meine Logfiles sind:

system 32:
02.04.2006 11:14 235.120 dqcpsapi.dll
02.04.2006 11:14 237.090 s0pula791d.dll
02.04.2006 09:00 235.719 lvrq0995e.dll
02.04.2006 08:52 5.120 winkey.dll
02.04.2006 08:52 235.120 dkserver.dll
02.04.2006 08:52 236.247 kt2ml7f11.dll
02.04.2006 00:32 235.120 lv8409lqe.dll
01.04.2006 20:21 2 wapisvit.exe
01.04.2006 20:19 687.592 atmtd.dll
01.04.2006 20:19 687.592 atmtd.dll._
01.04.2006 20:17 49.104 mc-110-12-0000137.exe
01.04.2006 20:17 32.768 OLD10F.tmp
01.04.2006 20:17 62.464 bszip.dll
01.04.2006 20:17 0 ping.com
01.04.2006 20:17 0 netstat.com
01.04.2006 20:17 0 taskkill.com
01.04.2006 20:17 0 cmd.com
01.04.2006 20:17 0 regedit.com
01.04.2006 20:17 0 tasklist.com
01.04.2006 20:17 0 tracert.com

30.03.2006 15:44 13.646 wpa.dbl
27.03.2006 18:46 139.264 vukidc.dll
26.03.2006 11:07 380.350 perfh009.dat
26.03.2006 11:07 63.580 perfc007.dat
26.03.2006 11:07 52.764 perfc009.dat
26.03.2006 11:07 391.000 perfh007.dat
26.03.2006 11:07 898.018 PerfStringBackup.INI
18.03.2006 14:39 1.409 tmp1FDF2.FOT
18.03.2006 14:39 1.409 tmp3BDF2.FOT
18.03.2006 14:39 1.409 tmp48DF2.FOT
18.03.2006 14:39 1.409 tmp7FCF2.FOT
18.03.2006 14:39 1.409 tmp99CF2.FOT
10.03.2006 02:10 4.799.320 MRT.exe

systemtemp:
02.04.2006 12:17 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31853.html
02.04.2006 12:15 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}3347.html
02.04.2006 12:15 16.384 ~DF89E4.tmp
02.04.2006 12:15 512 ~DF8A0C.tmp
02.04.2006 12:15 16.384 ~DF8A04.tmp
02.04.2006 12:15 16.384 ~DF89D4.tmp
02.04.2006 12:15 512 ~DF89DC.tmp
02.04.2006 12:15 16.384 ~DF89F4.tmp
02.04.2006 12:15 512 ~DF89EC.tmp
02.04.2006 12:15 512 ~DF89FC.tmp
02.04.2006 11:25 16.384 ~DF9F60.tmp
02.04.2006 11:25 16.384 ~DF81BE.tmp
02.04.2006 11:25 512 ~DF8219.tmp
02.04.2006 11:24 16.384 Perflib_Perfdata_c18.dat
14 Datei(en) 119.209 Bytes
0 Verzeichnis(se), 21.346.766.848 Bytes frei

System:
02.04.2006 12:06 4.228 ModemLog_HSP56 World MicroModem.txt
02.04.2006 11:24 700 win.ini
02.04.2006 11:14 0 0.log
02.04.2006 11:14 159 wiadebug.log
02.04.2006 11:14 1.421.978 WindowsUpdate.log
02.04.2006 11:14 50 wiaservc.log
02.04.2006 11:13 2.048 bootstat.dat
02.04.2006 01:10 32.554 SchedLgU.Txt
02.04.2006 00:59 43.609 ktd32.atm
02.04.2006 00:14 42.736 icont.exe
01.04.2006 20:21 0 dh.ini
01.04.2006 20:20 751.611 setupapi.log
01.04.2006 20:20 43 drsmartload2.dat
01.04.2006 20:18 0 newname.dat
01.04.2006 20:18 0 keyboard71.dat
01.04.2006 20:18 45.056 newname7.exe
01.04.2006 20:18 40 teller2.chk
01.04.2006 20:18 40.960 mousepad7.exe
28.03.2006 14:07 11.776 DH.dll

25.03.2006 11:24 151.820 DirectX.log
07.03.2006 00:07 357.406 services.exe
05.03.2006 16:06 14.955 wmsetup.log
05.03.2006 15:50 11 amunres.lsl
25.02.2006 17:48 2.359.350 Firefox Wallpaper.bmp
19.02.2006 14:26 121 TENNIS.INI
19.02.2006 12:35 29.899 spupdsvc.log
18.02.2006 23:58 49.703 iis6.log
18.02.2006 23:58 118.532 comsetup.log
18.02.2006 23:58 130.991 tsoc.log
18.02.2006 23:58 18.620 ocmsn.log
18.02.2006 23:58 71.470 ntdtcsetup.log
18.02.2006 23:58 1.374 imsins.log
18.02.2006 23:58 10.630 KB911927.log
18.02.2006 23:58 175.343 ocgen.log
18.02.2006 23:58 16.919 msgsocm.log
18.02.2006 23:58 323.767 FaxSetup.log
18.02.2006 23:58 21.304 updspapi.log
18.02.2006 23:58 1.374 imsins.BAK
18.02.2006 23:58 8.074 KB911564.log
18.02.2006 23:58 8.319 KB911565.log
18.02.2006 23:58 6.636 KB913446.log

sys:
02.04.2006 12:19 0 sys.txt
02.04.2006 12:18 8.501 system.txt
02.04.2006 12:18 1.042 systemtemp.txt
02.04.2006 12:16 95.206 system32.txt
02.04.2006 11:13 1.207.959.552 pagefile.sys
01.04.2006 20:20 53.248 drsmartload1.exe
01.04.2006 20:19 578.560 Installer.exe
01.04.2006 20:18 38.650 sk02.exe


könnt ihr mir sagen was ich jetzt tun muss. Danke im Vorraus
Seitenanfang Seitenende
02.04.2006, 13:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Tajiri262

Gehe in die Registry
Start-Ausfuehren-regedit

HKEY_CURRENT_USER\Software\Director <--loeschen

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINDOWS\system32\dqcpsapi.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\s0pula791d.dll
C:\WINDOWS\system32\lvrq0995e.dll
C:\WINDOWS\system32\winkey.dll
C:\WINDOWS\system32\dkserver.dll
C:\WINDOWS\system32\kt2ml7f11.dll
C:\WINDOWS\system32\lv8409lqe.dll
C:\WINDOWS\system32\wapisvit.exe
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\mc-110-12-0000137.exe
C:\WINDOWS\system32\OLD10F.tmp
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\vukidc.dll

C:\WINDOWS\ktd32.atm
C:\WINDOWS\icont.exe
C:\WINDOWS\dh.ini
C:\WINDOWS\setupapi.log
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\keyboard71.dat
C:\WINDOWS\newname7.exe
C:\WINDOWS\teller2.chk
C:\WINDOWS\mousepad7.exe
C:\WINDOWS\DH.dll
C:\WINDOWS\services.exe
C:\WINDOWS\amunres.lsl

C:\drsmartload1.exe
C:\Installer.exe
C:\sk02.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

-----------------------------------------------------

l2mfix - Option 2 anklicken - PC neustarten - Scan abwarten
http://virus-protect.org/l2mfix.html

----------------------------------------------------

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(wenn dann spaeter alles wieder sauber ist- wieder aktivieren)

---------------------------------------------------

•Datenträgerbereinigung: und Löschen der Temporary-Dateien
Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

---------------------------------------------------

zango.bfu abarbeiten
http://virus-protect.org/artikel/bfu/zango_bfu.html

winlog.bfu und ewido abarbeiten
http://virus-protect.org/artikel/bfu/winlog_bfu.html

wenn es noch da ist , loeschen:

C:\Programme\Gemeinsame Dateien\Windows
C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Gemeinsame Dateien\InetGet2
C:\Programme\Gemeinsame Dateien\mc-110-12-0000137.exe
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\services.exe

--------------------------------------------------

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2006, 15:44
...neu hier

Beiträge: 5
#29 gib mir mal bitte deine ICQ Nummer du musst mir das genauer erklären. Meine ist 262-979-669
Seitenanfang Seitenende
02.04.2006, 17:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 nein, es gibt meinerseits keine direkten Support, das wuerde zu weit gehen.
Arbeite alles ab , wie erklaert oder formatiere.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende