wscntfy.exe und noch mehr Viren/Trojaner ->alles verseucht

#1 hallo
ich hab mir heute dieses Trojanische Pferd eingefangen weiß leider die genaue bezeichnung nicht aber es könnte qhost.aa.exe sein vielleicht?(habe ne auf mein Problem passende beschreibung hier irgendwo gelesen)
Jedenfalls ist meine Startleiste voller "antispywareprogramme" das eine ist angeblich von microsoft und poppt hier ständig auf und meldet meine firewall sei nicht eingeschaltet obwohl sie es vor kurzem noch war und cih jetzt aber gar keine Einstellungen daran vornehmen kann (mir schwahnt dieses Viech ist dafür verantwortlich) Dann ist da noch so ein anderes rotes mit weißem kreuz drauf das meldet immer wieder "your computer is infected - click here to fix problems" und wenn man da draufclickt lädt es sich noch ein paar von seinen virenfreunden nach so mein endruck...
Ich hab mal mit hijackthis die prozesse gecheckt und da ist auch svhost.exe der ist auch böse oder?
Ich kenn mich nur wenig mit Computern aus und noch viel weniger mit Viren Würmern etc. bin sonst immer verschont geblieben. Jetzt läuft grad gar nichts mehr sonst ließen sich die Probleme immer mit ner Systemwiederherstellung beheben aber die geht jetzt nicht... und alle paar sek kommt dieses widerwärtige popup... sagt mir bitte was ich machen soll ich bin hier grade überfordert...

C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\htpatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\winstall.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\OLGAKO~1\LOKALE~1\Temp\Rar$EX00.453\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=11340
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.othersearch.com/iresults.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: ZServObj Class - {00000000-C1EC-0345-6EC2-4D0300000000} - C:\WINDOWS\ZServ.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Search toolbar - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\System32\DLL.dll (file missing)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [order_Shell] C:\Dokumente und Einstellungen\Olga Kopeleva\order_dmej.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ICQ 5.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp3-de\local.html (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {4D61BC1B-345F-408C-A318-E7A4059236A8} (CRicharoundVR2111 Object) - http://www.enternetica.com/viewer/evp.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www3.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {92F02779-6D88-4958-8AD3-83C12D86ADC7} - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {A8DF6751-27D2-4F4C-BECD-FC6737617724} - C:\Dokumente und Einstellungen\Olga Kopeleva\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.39.dat
O20 - AppInit_DLLs: euf14k3854xn66ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O21 - SSODL: System - {1F6482BC-804F-4656-AF8F-CB41D5FEA397} - vr_sys.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



bitte sagt mir eine Lösung mit der ich das wieder reinkriege und wo ich NICHT DIE FESTPLATTE FORMATIEREN MUSS! bitte!!!

#2 Trojan-pony

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi
okay, dann wolln wir mal, hoffe ich hab alles richtig gemacht...

list.bat
Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

05.03.2006 20:27 <DIR> .
05.03.2006 20:27 <DIR> ..
14.12.2004 18:18 <DIR> 1031
14.12.2004 18:18 <DIR> 1033
05.03.2006 20:27 1.024 ibm00001.exe
11.07.2003 02:15 1.292.872 MSONSEXT.DLL
14.07.2003 22:52 35.896 MSOSV.DLL
19.03.1999 22:46 127.032 MSOWS407.DLL
04.06.1999 15:09 122.937 MSOWS409.DLL
11.07.2003 02:25 80.448 PKMWS.DLL
6 Datei(en) 1.660.209 Bytes
4 Verzeichnis(se), 25.103.495.168 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6


datfind.bat
1.Verzeichnis von C:\WINDOWS\system32

06.03.2006 18:24 3.770 lckfldservicelog.txt
06.03.2006 18:24 312.243 OODBS.lor
04.03.2006 20:12 39 mscandc.ini
04.03.2006 20:11 1.024 NET06NMH.LOG
04.03.2006 20:01 384.816 FNTCACHE.DAT
04.03.2006 19:58 262.144 NET06NMH
04.03.2006 19:58 24.576 NMH040A.DLL
26.02.2006 21:00 91 mslck.dat
26.02.2006 20:51 12 Mlkf.dll
26.02.2006 20:49 5.639 FldLckINSTALL.LOG
25.02.2006 19:10 2.206 wpa.dbl
23.02.2006 10:22 1.047.552 mfc71u.dll
23.02.2006 10:22 57.344 avsda.dll
08.02.2006 06:23 4.513.120 MRT.exe
26.01.2006 13:06 42.708 QuickTime.qtp
25.01.2006 22:07 361.694 perfh009.dat
25.01.2006 22:07 369.256 perfh007.dat
25.01.2006 22:07 44.692 perfc009.dat
25.01.2006 22:07 54.194 perfc007.dat
25.01.2006 22:07 838.424 PerfStringBackup.INI
24.01.2006 21:46 251 spupdwxp.log
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
14.12.2005 09:24 118.784 sirenacm.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll


2.Verzeichnis von C:\DOKUME~1\OLGAKO~1\LOKALE~1\Temp

06.03.2006 18:36 16.384 ~DFD1CF.tmp
06.03.2006 18:36 512 ~DFB7FA.tmp
06.03.2006 18:36 16.384 ~DFB7EC.tmp
06.03.2006 18:36 206 jusched.log
06.03.2006 18:25 16.384 ~DFD589.tmp
06.03.2006 18:25 16.384 ~DFCE4E.tmp
6 Datei(en) 66.254 Bytes
0 Verzeichnis(se), 25.103.347.712 Bytes frei


3.Verzeichnis von C:\WINDOWS
22.08.2010 18:32 1.235.968 FussballSchoner.scr
22.08.2010 18:32 64 brassi.dat
22.08.2010 18:31 42 control.ini
22.08.2010 17:31 3.627 GatorPdpPlugin.log
17.07.2010 20:44 5.864 ModemLog_ThinkPad Modem.txt
06.03.2006 18:39 45 ICJMEJNK.ini
06.03.2006 18:25 1.226.186 WindowsUpdate.log
06.03.2006 18:24 0 0.log
06.03.2006 18:24 159 wiadebug.log
06.03.2006 18:24 0 wiaservc.log
06.03.2006 18:24 2.048 bootstat.dat
06.03.2006 00:50 32.618 SchedLgU.Txt
05.03.2006 20:30 116 NeroDigital.ini
05.03.2006 20:29 780 hosts
05.03.2006 20:29 28.032 toolbar.exe
05.03.2006 20:29 3.061 secure32.html
05.03.2006 20:27 32.768 tool2.exe
05.03.2006 20:27 75.264 kl1.exe
05.03.2006 20:27 0 uniq
05.03.2006 20:25 495.456 setupapi.log
05.03.2006 20:25 316.640 WMSysPr9.prx
05.03.2006 16:55 2.620 ssconf2.bin
04.03.2006 19:58 57.344 WNMHINDR.EXE
04.03.2006 19:53 724.992 iun6002.exe
02.03.2006 15:22 1.852 win.ini
28.02.2006 20:17 34.965 wmsetup.log
22.02.2006 15:22 4.579 ULEAD32.INI
16.02.2006 19:44 1.844 WISO.INI
15.02.2006 14:43 31.779 spupdsvc.log
15.02.2006 14:07 115.804 iis6.log
15.02.2006 14:07 198.508 comsetup.log
15.02.2006 14:07 123.078 ntdtcsetup.log
15.02.2006 14:07 299.318 tsoc.log
15.02.2006 14:07 1.374 imsins.log
15.02.2006 14:07 23.868 ocmsn.log
15.02.2006 14:07 10.618 KB911927.log
15.02.2006 14:07 401.963 ocgen.log
15.02.2006 14:07 37.182 msgsocm.log
15.02.2006 14:07 752.995 FaxSetup.log
15.02.2006 14:07 29.455 updspapi.log
15.02.2006 14:07 1.374 imsins.BAK
15.02.2006 14:07 7.540 KB911564.log
15.02.2006 14:06 7.771 KB911565.log
15.02.2006 14:06 6.635 KB913446.log
15.02.2006 14:06 0 setuperr.log
11.02.2006 21:31 227.572 setupact.log
08.02.2006 15:33 30 Iedit.INI
07.02.2006 12:40 4.058 OEWABLog.txt
25.01.2006 22:08 270 system.ini
25.01.2006 21:03 12.583 KB885250.log
25.01.2006 21:03 12.616 KB887742.log
25.01.2006 21:03 12.152 KB887472.log
25.01.2006 21:03 15.727 KB905915.log
25.01.2006 21:03 5.779 KB886185.log
25.01.2006 21:03 3.227 KB885884.log
24.01.2006 22:07 25.859 KB904706.log
24.01.2006 21:48 12.919 setuplog.txt
24.01.2006 21:46 731 DtcInstall.log
24.01.2006 20:54 512.692 svcpack.log
24.01.2006 20:54 203.744 KB912919.log
24.01.2006 20:53 202.240 KB910437.log
24.01.2006 20:53 202.593 KB908519.log
24.01.2006 20:52 208.715 KB905749.log
24.01.2006 20:51 214.949 KB905414.log
24.01.2006 20:51 232.060 KB902400.log
24.01.2006 20:50 213.547 KB901214.log
24.01.2006 20:49 226.061 KB901017.log
24.01.2006 20:48 215.025 KB900725.log
24.01.2006 20:48 226.873 KB899591.log
24.01.2006 20:47 231.707 KB899587.log
24.01.2006 20:46 205.699 KB896428.log
24.01.2006 20:46 206.042 KB896424.log
24.01.2006 20:45 226.370 KB896423.log
24.01.2006 20:44 230.119 KB896422.log
24.01.2006 20:44 221.203 KB896358.log
24.01.2006 20:43 227.767 KB893756.log
24.01.2006 20:42 213.189 KB893066.log
24.01.2006 20:42 212.817 KB891781.log
24.01.2006 20:41 212.155 KB890859.log
24.01.2006 20:40 214.645 KB890046.log
24.01.2006 20:39 209.221 KB888302.log
24.01.2006 20:39 221.671 KB888113.log
24.01.2006 20:38 223.334 KB885836.log
24.01.2006 20:37 229.151 KB885835.log
24.01.2006 20:37 221.548 KB873339.log
24.01.2006 20:33 200 cmsetacl.log
24.01.2006 20:32 11.485 sessmgr.setup.log
15.01.2006 21:57 5.634 regopt.log
14.01.2006 21:08 6.758 KB905915-IE6SP1-20051122.175908.log
14.01.2006 21:07 7.847 KB835409.log
27.12.2005 16:03 4.944 mashina.ini
23.12.2005 20:13 93 homeDVD-Fotos5.INI
23.12.2005 16:42 0 browser.INI
07.12.2005 17:04 817 stwin03.ini
07.12.2005 17:04 112 d2hnav.ini


4.
06.03.2006 19:00 0 sys.txt
06.03.2006 18:59 17.803 system.txt
06.03.2006 18:59 531 systemtemp.txt
06.03.2006 18:58 106.929 system32.txt
06.03.2006 18:56 2.160 files.txt
06.03.2006 18:24 536.399.872 hiberfil.sys
06.03.2006 18:24 805.306.368 pagefile.sys
05.03.2006 20:27 32.768 winstall.exe
25.01.2006 22:08 211 boot.ini
24.01.2006 20:26 47.564 NTDETECT.COM
24.01.2006 20:26 251.184 ntldr




ok das wars - ist alles da?
vielen Dank schonmal und bitte zeigt mir wie es weitergeht
Grüße

#4 Trojan-pony

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\WNMHINDR.EXE

-------------------------------------------------------------------------------------

Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

------------------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............(von hier aus)

C:\WINDOWS\system32\Mlkf.dll
C:\WINDOWS\system32\mslck.dat
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Dokumente und Einstellungen\Olga Kopeleva\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.39.dat
C:\Dokumente und Einstellungen\Olga Kopeleva\order_dmej.exe
C:\WINDOWS\GatorPdpPlugin.log
C:\WINDOWS\FussballSchoner.scr
C:\WINDOWS\brassi.dat
C:\WINDOWS\control.ini
C:\WINDOWS\hosts
C:\WINDOWS\System32\DLL.dll
C:\WINDOWS\vr_sys.dll
C:\WINDOWS\toolbar.exe
C:\WINDOWS\Downloaded Program Files\ieloader.exe
C:\WINDOWS\Downloaded Program Files\file.exe
C:\WINDOWS\Downloaded Program Files\WebRecomendada.dll
C:\WINDOWS\ZServ.dll
C:\WINDOWS\secure32.html
C:\WINDOWS\tool2.exe
C:\WINDOWS\kl1.exe
C:\WINDOWS\uniq
C:\winstall.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=11340
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.othersearch.com/iresults.php
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: ZServObj Class - {00000000-C1EC-0345-6EC2-4D0300000000} - C:\WINDOWS\ZServ.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Search toolbar - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\System32\DLL.dll (file missing)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [order_Shell] C:\Dokumente und Einstellungen\Olga Kopeleva\order_dmej.exe
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O18 - Filter: text/html - {A8DF6751-27D2-4F4C-BECD-FC6737617724} - C:\Dokumente und Einstellungen\Olga Kopeleva\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.39.dat
O20 - AppInit_DLLs: euf14k3854xn66ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O21 - SSODL: System - {1F6482BC-804F-4656-AF8F-CB41D5FEA397} - vr_sys.dll (file missing)

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html
option 1 --> poste den scanreport
Option 2 --> poste den scanreport

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo

Zitat

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\WNMHINDR.EXE

hab ich gemacht. die datei ist nicht infiziert.

Zitat

Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

10)DPF????
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.11.2005 12:51 <DIR> CONFLICT.1
21.11.2004 17:12 <DIR> CONFLICT.2
07.06.2005 15:35 1.124.872 EPUWALcontrol.dll
09.05.2005 08:54 539 EPUWALcontrol.inf
08.10.2004 16:01 372.736 MsnPUpld.dll
08.10.2004 16:13 587 MSNPupld.inf
15.10.2004 07:53 110.592 PURde-xx.dll
22.09.2004 15:59 110.592 PURen-us.dll
6 Datei(en) 1.719.918 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1

20.11.2005 12:51 <DIR> .
20.11.2005 12:51 <DIR> ..
0 Datei(en) 0 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.2

21.11.2004 17:12 <DIR> .
21.11.2004 17:12 <DIR> ..
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
6 Datei(en) 1.719.918 Bytes
6 Verzeichnis(se), 25.116.467.200 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.11.2005 12:51 <DIR> CONFLICT.1
21.11.2004 17:12 <DIR> CONFLICT.2
07.06.2005 15:35 1.124.872 EPUWALcontrol.dll
09.05.2005 08:54 539 EPUWALcontrol.inf
08.10.2004 16:01 372.736 MsnPUpld.dll
08.10.2004 16:13 587 MSNPupld.inf
15.10.2004 07:53 110.592 PURde-xx.dll
22.09.2004 15:59 110.592 PURen-us.dll
6 Datei(en) 1.719.918 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1

20.11.2005 12:51 <DIR> .
20.11.2005 12:51 <DIR> ..
0 Datei(en) 0 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.2

21.11.2004 17:12 <DIR> .
21.11.2004 17:12 <DIR> ..
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
6 Datei(en) 1.719.918 Bytes
6 Verzeichnis(se), 25.113.190.400 Bytes frei

Zitat

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............(von hier aus)

auch gemacht.

Zitat

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

da war was wie "restore microsoft hosts". ist es das? das hab ich gemacht

Zitat

smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html
option 1 --> poste den scanreport
Option 2 --> poste den scanreport

das ging nicht so richtig. der Report war soweit ich das erkennen konnte ziemlich leer also keine dateien nur halt smitfraud...stop processes oder so ähnlich, auch nich wininet.dll die ich ja prüfen sollte und es startet im abgesicherten Modus plötzlich die Datenträgerbereinigung außerdem steht da dass der Bildschirm blau wird, war bei mir aber nicht ich habs manuell wieder in den normalen modus hochgefahren...

den virenscan mit ewido mach ich gleich und editiere das dann hier rein
EEEEDIT
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:08:41, 07.03.2006
+ Report-Checksumme: 2296D14B

+ Scanergebnis:

HKLM\SOFTWARE\Classes\BrowserHelperObject.BAHelper -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BrowserHelperObject.BAHelper\CLSID -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BrowserHelperObject.BAHelper\CurVer -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BrowserHelperObject.BAHelper.1 -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CSSecurity.HTMLSecurity -> Adware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CSSecurity.HTMLSecurity\CLSID -> Adware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CSSecurity.HTMLSecurity\CurVer -> Adware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CSSecurity.HTMLSecurity.1 -> Adware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\DyFuCA_BH.SinkObj -> Adware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\DyFuCA_BH.SinkObj\CLSID -> Adware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\DyFuCA_BH.SinkObj\CurVer -> Adware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\DyFuCA_BH.SinkObj.1 -> Adware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\LocalNRDDll.LocalNRDDllObj -> Adware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\LocalNRDDll.LocalNRDDllObj\CLSID -> Adware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\LocalNRDDll.LocalNRDDllObj\CurVer -> Adware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MTC2608.MTC2608 -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MTC2608.MTC2608\CurVer -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MTC2608.MTC2608.1 -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MultiMPPDll.MultiMPPDllObj -> Adware.VX2 : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MultiMPPDll.MultiMPPDllObj\CLSID -> Adware.VX2 : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MultiMPPDll.MultiMPPDllObj\CurVer -> Adware.VX2 : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MultiMPPDll.MultiMPPDllObj.1 -> Adware.VX2 : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SideFind.Finder -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SideFind.Finder\CLSID -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SideFind.Finder\CurVer -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SideFind.Finder.1 -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WER4820.WER4820 -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WER4820.WER4820\CurVer -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WER4820.WER4820.1 -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZServDll.ZServDllObj -> Adware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZServDll.ZServDllObj\CLSID -> Adware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZServDll.ZServDllObj\CurVer -> Adware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZServDll.ZServDllObj.1 -> Adware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\SideFind -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Cassandra -> Adware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Policies\Avenue Media -> Adware.InternetOptimizer : Gesäubert mit Backup
HKLM\SOFTWARE\PowerScan -> Adware.PowerScan : Gesäubert mit Backup
HKLM\SOFTWARE\SideFind -> Adware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\SideFind\History -> Adware.SideFind : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\IST -> Adware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\MultiMPP -> Adware.BetterInternet : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\NavExcel Ltd -> Adware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\NavExcel Ltd\NavExcel Search Toolbar -> Adware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\NavExcel Ltd\NavExcel Search Toolbar\History -> Adware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\Policies\Avenue Media -> Adware.InternetOptimizer : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\sais -> Adware.180Solutions : Gesäubert mit Backup
HKU\S-1-5-21-3963958167-4067071043-3259766107-1009\Software\ZServ -> Adware.BetterInternet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temp\8OVQA6U0.dll -> Adware.Sahat : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temp\Del9.tmp -> Adware.180Solutions : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@bfast[1].txt -> TrackingCookie.Bfast : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@data.coremetrics[1].txt -> TrackingCookie.Coremetrics : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@www.etracker[1].txt -> TrackingCookie.Etracker : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Lokale Einstellungen\Temp\djtopr1150.exe -> Adware.WebRebates : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Lokale Einstellungen\Temporary Internet Files\Content.IE5\96X7751A\send_car_int[1].htm -> Not-A-Virus.Exploit.HTML.CodeBaseExec : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Lokale Einstellungen\Temporary Internet Files\Content.IE5\96X7751A\send_car_int[2].htm -> Not-A-Virus.Exploit.HTML.CodeBaseExec : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LWSZDTWP\portal.tetki[1] -> Hijacker.Pretty : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LWSZDTWP\r[1] -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LYKL3V5A\count[1].chm -> Downloader.Psyme.x : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Boris Kopelev\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDKSBIJ0\send_car_int[1].htm -> Not-A-Virus.Exploit.HTML.CodeBaseExec : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Olga Kopeleva\Cookies\olga kopeleva@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Olga Kopeleva\Cookies\olga kopeleva@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Olga Kopeleva\Cookies\olga kopeleva@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Olga Kopeleva\Cookies\olga kopeleva@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Olga Kopeleva\Cookies\olga kopeleva@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Olga Kopeleva\Cookies\olga kopeleva@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Olga Kopeleva\Cookies\olga kopeleva@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\PCWELT\0309\brutus-aet2\BrutusA2.exe -> Not-A-Virus.PSWTool.Win32.Brutus : Gesäubert mit Backup
C:\Programme\ISTsvc -> Adware.ISTBar : Gesäubert mit Backup
C:\Programme\Yahoo!\Messenger\ycomp.dll -> Adware.Yahoo : Gesäubert mit Backup
C:\WINDOWS\isrvs\isearch.xpi/chrome/isearch.jar/content/isearch/isearch.js -> Adware.ISearch : Gesäubert mit Backup
C:\WINDOWS\localNRD.dll -> Adware.BiSpy : Gesäubert mit Backup
C:\WINDOWS\multimpp.dll -> Adware.BiSpy : Gesäubert mit Backup
C:\WINDOWS\preInMPP.exe -> Adware.BiSpy : Gesäubert mit Backup
C:\WINDOWS\preInsln.exe -> Adware.BiSpy : Gesäubert mit Backup


::Report Ende


okay das wars Grußi

#6 Trojan-pony

mache bitte einen Onlinescan mit panda , posten den scanreport + das neue log vom HijackThis
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hey, geht klar...

Panda:

Incident Status Location

Adware:adware/cws Not disinfected C:\Dokumente und Einstellungen\All Users\Favoriten\AdultGambling.url
Adware:Adware/IPInsight Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temp\conscorr.inf
Adware:Adware/IPInsight Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temp\conscorr.ini
Virus:Trj/Downloader.CYL Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0D0TUJGP\files[1].chm[Table of Contents.hhc]
Adware:Adware/MSSearch Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0D0TUJGP\files[1].chm[q.htm]
Adware:Adware/Tubby Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0D0TUJGP\files[1].chm[file.exe]
Virus:Trj/Downloader.PS Disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VNZEKLH\files[1].chm
Virus:Trj/Downloader.CYL Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\73PVZPCW\121[1].chm[Table of Contents.hhc]
Adware:Adware/XPlugin Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\73PVZPCW\121[1].chm[file.exe]
Adware:Adware/MSSearch Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\73PVZPCW\121[1].chm[q.htm]
Dialerialer.AVV Not disinfected C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QBYREX2Z\countme[1].htm
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@2o7[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@as-eu.falkag[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@as1.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Boris Kopelev\Cookies\boris kopelev@sel.as-eu.falkag[1].txt



und Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:45:54, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\notepad.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ICQ 5.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp3-de\local.html (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {4D61BC1B-345F-408C-A318-E7A4059236A8} (CRicharoundVR2111 Object) - http://www.enternetica.com/viewer/evp.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www3.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {92F02779-6D88-4958-8AD3-83C12D86ADC7} - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Dieser eine Trojaner oder was das war, in mweiner Startleiste der immer "Your computer is infected" upgepoppt hat ist übrigens weg. Und auch sonst arbeitet alles wieder normal höchstens ist es vielleicht etwas langsam alles aber nun ja... bevor ich den Panda report gesehen hab dachte cih schon ich wäre die Schädlinge los...

Gruß

#8 Trojan-pony

Fixe mit dem HijackThis:

O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp3-de\local.html (file missing)
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab

PC neustarten

1.
manuell loeschen:
C:\Dokumente und Einstellungen\All Users\Favoriten\AdultGambling.url

2.
mit der killbox loeschen:
C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temp\conscorr.inf
C:\Dokumente und Einstellungen\Anna Kopeleva\Lokale Einstellungen\Temp\conscorr.ini

3.
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

4.
wende CleanUp an, dann den PC neustarten
http://virus-protect.org/cleanup.html

5.
lade den Browser Firefox und surfe nur noch mit ihm (der IE bleibt fuer die Windowsupdates)
http://virus-protect.org/firefox.html

6.
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
(NUR das anwenden..nichts weiter)

7.
scanne noch mal mit ewido (kein Backup ...alles loeschen) ,loesche dann auch alles, was sich in den Backups angesammelt hat.... wenn dann alles sauber ist, deinstalliere oder kaufe nach 14 Tagen das Tool)
__________
MfG Sabina

rund um die PC-Sicherheit