Ich bekomme diese yyy.html Popups nicht weg

#16 kommt noch mehr ?????????????
__________
MfG Sabina

rund um die PC-Sicherheit

#17 nein, das war alles.
Aber bis jetzt ist auch kein Popup mehr aufgegangen, also danke für alles

#18 halt halt... wir muessen den purity loeschen !!!!!!!! Warte

Zitat

Verzeichnis von C:\
18.03.2006 03:32 0 23990098.$$$

Verzeichnis von C:\Programme
14.03.2006 20:11 <DIR> Anti-Leech
14.03.2006 18:46 <DIR> M?crosoft.NET

Verzeichnis von C:\WINDOWS
16.02.2006 20:04 0 gimmygames91.dat
09.02.2006 19:01 0 myupdates1.dat
14.03.2006 18:45 <DIR> ?icrosoft

Verzeichnis von C:\WINDOWS\system32
18.03.2006 16:31 0 lo2.txtt
14.03.2006 18:46 2 wapitr.exe
14.03.2006 17:35 364 results.txt
02.03.2006 16:50 405.504 r?gsvr32.exe

__________
MfG Sabina

rund um die PC-Sicherheit

#19 ok, aber ich habe alles geschickt was zu schicken war.

#20 1.
deinstalliere:
C:\Programme\Anti-Leech

hier weiss ich im Moment noch nicht, was tun...es ist ein Programm vom Purity-Scan erstellt...sehr perfide...der Name... (mache erst mal noch nichts, sondern berichte, ob du es findest)

C:\Programme\M?crosoft.NET

Zitat

Verzeichnis von c:\Programme

25.08.2005 14:07 <DIR> microsoft frontpage
24.08.2005 22:12 <DIR> Microsoft Office
24.08.2005 22:13 <DIR> Microsoft Visual Studio
02.10.2004 15:33 <DIR> Microsoft Works
14.03.2006 18:46 <DIR> M?crosoft.NET

2.
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\gimmygames91.dat
C:\WINDOWS\myupdates1.dat
C:\WINDOWS\?icrosoft
C:\WINDOWS\system32\lo2.txtt
C:\WINDOWS\system32\wapitr.exe
C:\WINDOWS\system32\r?gsvr32.exe

klicke im Avenger die gruene Ampel

das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ednetz.de/login/index.html?ednetzid=76fa848a515f1651baed4186ecd93d8e
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop

O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\ir2ul5f91.dll

PC neustarten

poste den scanbericht vom avenger

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 C:\Programme\M?crosoft.NET konnte ich nicht finden, aber C:\Programme\Microsoft.NET habe ich schon gefunden.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pveqantg

*******************

Script file located at: \??\C:\Program Files\igtcayct.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\gimmygames91.dat deleted successfully.
File C:\WINDOWS\myupdates1.dat deleted successfully.


Could not open file C:\WINDOWS\?icrosoft for deletion
Deletion of file C:\WINDOWS\?icrosoft failed!

Could not process line:
C:\WINDOWS\?icrosoft
Status: 0xc0000033

File C:\WINDOWS\system32\lo2.txtt deleted successfully.
File C:\WINDOWS\system32\wapitr.exe deleted successfully.


Could not open file C:\WINDOWS\system32\r?gsvr32.exe for deletion
Deletion of file C:\WINDOWS\system32\r?gsvr32.exe failed!

Could not process line:
C:\WINDOWS\system32\r?gsvr32.exe
Status: 0xc0000033


Completed script processing.

*******************

Finished! Terminate.

ich habe alles gemacht, bloß das mit dem Kaspersky Virenscanner funktioniert nicht.

#22 ich hab veraendert...schau mal ... du bist zu schnell

Zitat

Sabina postete
suche und loesche manuell:

1.
02.03.2006 16:50 405.504 r?gsvr32.exe

C:\WINDOWS\system32\r?gsvr32.exe (nur loeschen vom 02.03.2006)--- es gibt noch eine vom 04.08.2004, die nicht loeschen !!!!!!!!!
-----------------------------------------------
2.
14.03.2006 18:45 <DIR> ?icrosoft

c:\WINDOWS\?icrosoft ( nur loeschen vom 14.03.2006)
-----------------------------------------------
3.
Verzeichnis von c:\Programme
14.03.2006 18:46 <DIR> M?crosoft.NET

deinstalliere/loesche: c:\Programme\M?crosoft.NET ( nur loeschen vom 14.03.2006)

-----------------------------------------------

was funktioniert nicht beim Kaspersky ??????????

scanne mit ewido im abgesicherten Modus und poste den scanreport
http://virus-protect.org/ewido.html

__________
MfG Sabina

rund um die PC-Sicherheit

#23 der kaspersky lässt sich irgendwie nicht starten
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:39:05, 19.03.2006
+ Report-Checksumme: 9FCD8BB2

+ Scanergebnis:

HKLM\SOFTWARE\Classes\Interface\{06CA2DA3-3A44-4FC7-8FD9-246C0F53407C} -> Adware.CoolWebSearch : Gesäubert mit Backup
HKU\S-1-5-21-2213458645-3043970900-104643637-1009\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EA0D26BD-9029-431A-86E0-83152D67828A} -> Adware.180Solutions : Gesäubert mit Backup
:mozilla.6:C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\Mozilla\Firefox\Profiles\5gkbc7ms.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup

C:\Dokumente und Einstellungen\Wolly\Lokale Einstellungen\Temp\Cookies\wolly@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert mit Backup


::Report Ende

#24 nun versuche es mit folgendem:

http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4721 created Mar 17 2006
Scanning for 182838 viruses, trojans and variants.

Virus Scan Results



03/19/2006 19:07:11


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
C:\WINDOWS\SYSTEM32\RGSVR3~1.EXE ... Found potentially unwanted program Adware-ValueAd.
The file or process has been deleted.
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 7889
Clean: ................. 7876
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 1


Time: 00:04.20


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4721 created Mar 17 2006
Scanning for 182838 viruses, trojans and variants.

Virus Scan Results



03/19/2006 19:18:03


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 52112
Clean: ................. 52098
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:14.05


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4721 created Mar 17 2006
Scanning for 182838 viruses, trojans and variants.

Virus Scan Results



03/19/2006 20:25:46


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
Scanning C:\*.*
C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Temp\!update.exe\!update.exe ... Found the Downloader-EV trojan !!!
The file or process has been deleted.
C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\8F0TM1UB\!update-3645[1].0000\!update-3645[1].0000 ... Found the Downloader-EV trojan !!!
The file or process has been deleted.
C:\hp\bin\Terminator.exe ... Found potentially unwanted program KillApp.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 180337
Clean: ................. 180241
Possibly Infected: ..... 2
Cleaned: ............... 0
Deleted: ............... 3
Non-critical Error(s): 2


Time: 00:33.21


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.

#26 na fein...das Tool hat einiges gefunden/geloescht vom Purity
http://virus-protect.org/artikel/spyware/purity.html

1.
* Please download the RKFiles.zip
Original : http://skads.org/special/rkfiles.zip

*entpacken

*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

*Doppelklick (Ausführen)-- rkfiles.bat -- im dos-Fenster steht : angegebener Pfad nicht gefunden ! checking the folder -- warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert) --- poste C:\log.txt

2.
# Please download Finditnt2000xp.zip to your desktop. -->
FindItNt
http://virus-protect.org/artikel/tools/FindItNt2kXP.html
http://virus-protect.org/artikel/tools/finditnt2000xp.zip

1. Place it in a folder of its own on the Desktop
2. Unzip the contents of Finditnt2000xp.zip.
3. Double-click on find.bat. (File with a gear in it).
4. A command prompt opens and it searches your computer for malicious files (may take a few minutes, let it finish).
5. Once it has finished, Notepad displays output.txt.
6. Please post the output.txt in your next reply.

Please post the RKFiles_log.txt, the output txt. from the Finditnt2000xp search and a new hijackthis log.
__________
MfG Sabina

rund um die PC-Sicherheit

#27 D:\Patrick\Eigene Dateien\Eigene Daten\Programme

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\authdvd.dll: UPX!
C:\WINDOWS\system32\locate.com: WAUPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\authdvd.dll: UPX!
C:\WINDOWS\system32\locate.com: WAUPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\SSEUninstaller.exe: UPX!
Finished
bye


Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

Find.bat is running from: C:\Dokumente und Einstellungen\Patrick\Desktop\Neuer Ordner\Find It NT-2K-XP

------- System Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 08A3-163F

Verzeichnis von C:\WINDOWS\System32

19.03.2006 17:35 <DIR> dllcache
02.10.2004 13:18 <DIR> Microsoft
30.09.2004 22:28 8.192 Thumbs.db
1 Datei(en) 8.192 Bytes
2 Verzeichnis(se), 17.575.272.448 Bytes frei

------- Hidden Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 08A3-163F

Verzeichnis von C:\WINDOWS\System32

19.03.2006 17:35 <DIR> dllcache
16.02.2006 20:39 0 spkpsys.ini
02.10.2004 13:14 488 logonui.exe.manifest
02.10.2004 13:14 488 WindowsLogon.manifest
02.10.2004 13:14 749 sapi.cpl.manifest
02.10.2004 13:14 749 nwc.cpl.manifest
02.10.2004 13:14 749 ncpa.cpl.manifest
02.10.2004 13:14 749 cdplayer.exe.manifest
02.10.2004 13:14 749 wuaucpl.cpl.manifest
30.09.2004 22:28 8.192 Thumbs.db
9 Datei(en) 12.913 Bytes
1 Verzeichnis(se), 17.575.268.352 Bytes frei

------------ Files Named "Guard" ---------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 08A3-163F

Verzeichnis von C:\WINDOWS\System32

16.02.2006 21:32 <DIR> AVGUARD_44155d25
0 Datei(en) 0 Bytes
1 Verzeichnis(se), 17.575.268.352 Bytes frei

------ Temp Files in System32 Directory ------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 08A3-163F

Verzeichnis von C:\WINDOWS\System32

28.01.2005 15:23 86.016 SET111.tmp
28.01.2005 13:32 2.370.296 SETA5.tmp
28.01.2005 13:32 258.296 SET6D.tmp
28.01.2005 08:53 224.768 SET93.tmp
11.08.2004 00:41 5.550.080 setb9.tmp
04.08.2004 13:00 2.951 CONFIG.TMP
6 Datei(en) 8.492.407 Bytes
0 Verzeichnis(se), 17.575.268.352 Bytes frei

------------------ User Agent ----------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""


------------- Keys Under Notify -------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


------------- Locate.com Results -------------

C:\WINDOWS\SYSTEM32\
spkpsys.ini Thu 16 Feb 2006 20:39:18 A..H. 0 0,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 0 bytes 0,00 K

-------- Strings.exe Qoologic Results --------


--------- Strings.exe Aspack Results ---------

C:\WINDOWS\system32\d3dx9_26.dll: D3DXUVAtlasPack
C:\WINDOWS\system32\MRT.exe: (ASPack)
C:\WINDOWS\system32\MRT.exe: (AsPack2k)
C:\WINDOWS\system32\MRT.exe: ASPack2000
C:\WINDOWS\system32\MRT.exe: (Aspack %s)
C:\WINDOWS\system32\MRT.exe: ASPack 1.61
C:\WINDOWS\system32\MRT.exe: ASPack 1.084
C:\WINDOWS\system32\MRT.exe: ASPack 1.083
C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b
C:\WINDOWS\system32\MRT.exe: ASPack 1.07b
C:\WINDOWS\system32\MRT.exe: ASPack 1.05b
C:\WINDOWS\system32\MRT.exe: ASPack 1.02
C:\WINDOWS\system32\MRT.exe: ASPACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\ntdll.dll: .aspack
C:\WINDOWS\system32\d3dx9_26.dll: D3DXUVAtlasPack
C:\WINDOWS\system32\MRT.exe: (ASPack)
C:\WINDOWS\system32\MRT.exe: (AsPack2k)
C:\WINDOWS\system32\MRT.exe: ASPack2000
C:\WINDOWS\system32\MRT.exe: (Aspack %s)
C:\WINDOWS\system32\MRT.exe: ASPack 1.61
C:\WINDOWS\system32\MRT.exe: ASPack 1.084
C:\WINDOWS\system32\MRT.exe: ASPack 1.083
C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b
C:\WINDOWS\system32\MRT.exe: ASPack 1.07b
C:\WINDOWS\system32\MRT.exe: ASPack 1.05b
C:\WINDOWS\system32\MRT.exe: ASPack 1.02
C:\WINDOWS\system32\MRT.exe: ASPACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\ntdll.dll: .aspack

-------------- HKLM Run Key ----------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"KBD"="C:\\HP\\KBD\\KBD.EXE"
"Dit"="Dit.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"mmtask"="c:\\Program Files\\MusicMatch\\MusicMatch Jukebox\\mmtask.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"PS2"="C:\\WINDOWS\\system32\\ps2.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PrinTray"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\2\\printray.exe"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_5\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"PSPVideo9"="C:\\Programme\\pspvideo9\\pspVideo9.exe -t"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"


Logfile of HijackThis v1.99.1
Scan saved at 22:02:49, on 19.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\pspvideo9\pspVideo9.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\Patrick\Eigene Dateien\Eigene Daten\Trillian\trillian.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Patrick\Eigene Dateien\Eigene Daten\Programme\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSPVideo9] C:\Programme\pspvideo9\pspVideo9.exe -t
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: Trillian.lnk = D:\Patrick\Eigene Dateien\Eigene Daten\Trillian\trillian.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138199782078
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#28 versuche bitte einen Onlinescan mit panda und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Incident Status Location

Adware:Adware/PurityScan Not disinfected
C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\0ABCVN6Y\0search[1].exe
Spyware:Cookie/WinFixer Not disinfected
C:\Dokumente und Einstellungen\Wolly\Anwendungsdaten\Mozilla\Firefox\Profiles\qp03qydg.default\cookies.txt[]
Potentially unwanted tool:Application/Zango Not disinfected
C:\Dokumente und Einstellungen\Wolly\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\VAFAET4M\zango[1].htm
Potentially unwanted tool:Application/Zango Not disinfected
C:\Dokumente und Einstellungen\Wolly\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\XSN2NUV4\index[1].htm
Potentially unwanted tool:Application/HideWindow.A Not disinfected
C:\hp\bin\FondleWindow.exe
Potentially unwanted tool:Application/KillApp.B Not disinfected
C:\hp\bin\KillIt.exe
Potentially unwanted tool:Application/Processor Not disinfected
C:\WINDOWS\system32\Process.exe

#30 Suga

Cleanup
http://virus-protect.org/cleanup.html

boote in den abgesicherten Modus und wende den Cleaner an...solange, bis alle temp-Dateien geloescht sind. Sonst verseucht sich der PC immer aufs Neue

Ueberpruefe bitte auch mit der complet.bat, ob wirklich alles geloescht ist, was ich rausgesucht hatte vom PurityScan
__________
MfG Sabina

rund um die PC-Sicherheit