Ich kann Spywarequake nicht entfernen

#0
16.08.2006, 12:28
...neu hier
Avatar Saarlandpowe

Beiträge: 5
#136 C:\WINDOWS\temp\MSI31723.LOG - deleted
C:\WINDOWS\temp\MSI31724.LOG - deleted
C:\WINDOWS\temp\mso3B.tmp - deleted
C:\WINDOWS\temp\msoD.tmp - deleted
C:\WINDOWS\temp\vminst.log - deleted
C:\WINDOWS\temp\vmware-vmount.log currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}\hhupd.exe - deleted
C:\WINDOWS\temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}\openssl.exe - deleted
C:\WINDOWS\temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}\PerlBase.zip - deleted
C:\WINDOWS\temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}\rui.cfg - deleted
C:\WINDOWS\temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}\vmunzip.dll - deleted
C:\WINDOWS\temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}\ - deleted
edit (Sabina)

listen.bat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Windows\tasks

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Media-Codec

16.08.2006 10:45 <DIR> .
16.08.2006 10:45 <DIR> ..
16.08.2006 02:48 26.624 iesplugin.dll
16.08.2006 02:48 9.728 iesuninst.exe
16.08.2006 02:55 4.608 isamini.exe
16.08.2006 02:48 9.728 isauninst.exe
16.08.2006 02:48 4.286 ot.ico
16.08.2006 12:33 2.320 pmmon.exe
16.08.2006 02:48 10.660 pmsngr.exe
16.08.2006 02:48 10.240 pmuninst.exe
16.08.2006 02:48 4.286 ts.ico
9 Datei(en) 82.480 Bytes
2 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\ShopperReports\Bin\2.0.0

28.04.2006 15:12 <DIR> .
28.04.2006 15:12 <DIR> ..
16.03.2006 17:01 1.050.336 ShprRprt.dll
1 Datei(en) 1.050.336 Bytes
2 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\ShopperReports\Bin

06.01.2006 21:53 <DIR> .
06.01.2006 21:53 <DIR> ..
06.01.2006 21:53 <DIR> 1.1.0.0
28.04.2006 15:12 <DIR> 2.0.0
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\ShopperReports

05.06.2006 10:34 <DIR> .
05.06.2006 10:34 <DIR> ..
06.01.2006 21:53 <DIR> Bin
06.01.2006 21:53 <DIR> cs
28.04.2006 15:13 66.188 Uninst.exe
16.05.2006 18:36 65.082 uninstall.exe
2 Datei(en) 131.270 Bytes
4 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Hbtools\HBTV

16.08.2006 12:35 <DIR> .
16.08.2006 12:35 <DIR> ..
21.06.2006 23:09 287.744 HBTV.exe
15.08.2006 20:53 203.331 hbtvau.dat
21.06.2006 23:08 118.784 HBTVHelper.dll
04.07.2006 19:38 6.853 hbtv_gdf.dat
16.08.2006 12:35 48 hbtv_hpk.dat
16.08.2006 08:14 9.116.959 hbtv_kyf.dat
04.07.2006 19:37 73.545 uninstaller.exe
7 Datei(en) 9.807.264 Bytes
2 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\HbTools\Bin\4.8.0.0

04.07.2006 19:38 <DIR> .
04.07.2006 19:38 <DIR> ..
25.06.2006 15:27 172.032 Cml.exe
27.12.2001 15:57 294.912 dBenderC.dll
25.06.2006 15:27 73.728 HbtAds.dll
25.06.2006 15:28 591.512 HbtCoreSrv.dll
25.06.2006 15:26 253.952 HbtGuard.exe
25.06.2006 15:28 542.360 HbtHostIE.dll
25.06.2006 15:27 53.248 HbtHostOE.dll
25.06.2006 15:28 497.304 HbtHostOL.dll
25.06.2006 15:28 132.760 HbtInstIE.dll
25.06.2006 15:27 53.248 HbtOEAddOn.exe
25.06.2006 15:27 479.232 HbtSrv.exe
25.06.2006 15:27 1.060.864 HbtToolbar.dll
25.06.2006 15:28 255.640 HbtWallpaper.dll
25.06.2006 15:26 253.952 HbtWeatherOnTray.exe
14 Datei(en) 4.714.744 Bytes
2 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\HbTools\Bin

04.07.2006 19:37 <DIR> .
04.07.2006 19:37 <DIR> ..
06.01.2006 21:53 <DIR> 4.7.2.1
04.07.2006 19:38 <DIR> 4.8.0.0
04.07.2006 19:38 114.980 HbtUninst.exe
1 Datei(en) 114.980 Bytes
4 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\HbTools

04.07.2006 19:37 <DIR> .
04.07.2006 19:37 <DIR> ..
04.07.2006 19:37 <DIR> Bin
04.07.2006 21:56 171.961 HbTools.log
31.03.2006 19:02 500.521 HbTools_1143824580.log
05.06.2006 15:41 501.411 HbTools_1149515011.log
16.08.2006 12:35 <DIR> HBTV
3 Datei(en) 1.173.893 Bytes
4 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Macrogaming\SweetIMBarForIE

02.06.2006 21:07 <DIR> .
02.06.2006 21:07 <DIR> ..
19.02.2006 16:08 6 affid.dat
19.02.2006 16:08 2.411 basis.xml
19.02.2006 16:08 1.352 Bookmarks_23x18.bmp
02.06.2006 21:07 <DIR> Cache
19.02.2006 16:08 1.352 Email_23x18.bmp
19.02.2006 16:08 1.352 Games_23x18.bmp
19.02.2006 16:08 1.352 Greetingcards_23x18.bmp
19.02.2006 16:08 1.352 Mobile_23x18.bmp
19.02.2006 16:08 1.352 Music_23x18.bmp
19.02.2006 16:08 1.352 News_23x18.bmp
19.02.2006 16:08 1.352 Shoping_23x18.bmp
19.02.2006 16:08 2.648 SmileySmile.bmp
19.02.2006 16:08 2.648 SmileyWink.bmp
19.02.2006 16:08 18.486 sweetimicons.bmp
12.04.2006 12:12 69 toolbar.crc
11.04.2006 16:00 8.389 toolbar.xml
19.02.2006 16:08 63 version.txt
16 Datei(en) 45.536 Bytes
3 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Macrogaming

02.06.2006 21:07 <DIR> .
02.06.2006 21:07 <DIR> ..
02.06.2006 21:07 <DIR> SweetIM
02.06.2006 21:07 <DIR> SweetIMBarForIE
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\zango

16.08.2006 12:35 <DIR> .
16.08.2006 12:35 <DIR> ..
15.06.2006 20:34 867.328 zango.exe
15.08.2006 19:49 203.333 zangoau.dat
15.06.2006 20:34 133.232 zangohook.dll
15.06.2006 20:34 6.853 zango_gdf.dat
16.08.2006 12:35 48 zango_hpk.dat
16.08.2006 11:43 9.114.318 zango_kyf.dat
6 Datei(en) 10.325.112 Bytes
2 Verzeichnis(se), 1.830.850.560 Bytes frei
Datentr„ger in Laufwerk D: ist Spiele, Progs
Volumeseriennummer: 84CF-1F8D

Verzeichnis von D:\Programme\Sentry

12.08.2005 16:28 <DIR> .
12.08.2005 16:28 <DIR> ..
14.03.2005 03:00 4.582 License.txt
14.03.2005 03:00 2.362 Readme.txt
14.03.2005 03:00 79.476 Sentry.chm
14.03.2005 03:00 164.352 Sentry.exe
14.03.2005 03:00 86.528 SentryCommand.exe
14.03.2005 03:00 115.712 SentryDriver.sys
14.03.2005 03:00 38.400 SentryInterface.dll
14.03.2005 03:00 161.792 SentryService.exe
12.08.2005 16:28 47.673 Uninstall.exe
9 Datei(en) 700.877 Bytes
2 Verzeichnis(se), 49.515.126.784 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Windows\System32\Com

23.05.2005 16:58 <DIR> .
23.05.2005 16:58 <DIR> ..
02.04.2003 14:00 186.880 comadmin.dll
02.04.2003 14:00 61.440 comempty.dat
02.04.2003 14:00 77.348 comexp.msc
02.04.2003 14:00 8.192 comrepl.exe
02.04.2003 14:00 5.120 comrereg.exe
02.04.2003 14:00 19.456 mtsadmin.tlb
6 Datei(en) 358.436 Bytes
2 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.11.2005 09:28 135.168 asinst.dll
14.10.2005 13:20 525 asinst.inf
11.05.2004 12:55 1.277.992 Banksht2.dll
18.04.2006 15:59 1.173.616 ClientAX.dll
29.05.2003 15:00 160.864 messengerstatsclient.dll
06.04.2004 20:03 172.072 MessengerStatsPAClient.dll
29.05.2003 15:00 77.408 msgrchkr.dll
14.10.2005 11:02 372.736 MsnPUpld.dll
14.10.2005 12:49 587 MSNPupld.inf
19.12.2003 15:43 241 popcaploader.inf
31.05.2002 09:19 117.328 PURde-de.dll
19.06.2002 14:11 117.088 PURen-us.dll
27.08.2005 14:30 5.065 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
17.11.2004 23:44 114.728 Zintro.ocx
15 Datei(en) 3.727.107 Bytes
0 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Eigene Dateien

16.08.2006 12:30 <DIR> .
16.08.2006 12:30 <DIR> ..
03.08.2006 22:11 <DIR> 2 Neue Maps for Testserver 1
16.08.2006 12:10 49.823 4079111.jpg
16.08.2006 12:02 30.534 487617.jpg
16.08.2006 11:57 60.806 8ozbwchecker.jpg
16.08.2006 12:15 380 avng.txt
16.08.2006 11:13 <DIR> backups
16.08.2006 12:30 339.257 CleanUp452.exe
16.08.2006 12:08 50.189 doeriders271.jpg
16.08.2006 12:08 55.709 doeriders274.jpg
16.08.2006 12:09 11.700 dog.jpg
16.08.2006 12:11 <DIR> Eigene Bilder
14.08.2006 08:38 <DIR> Eigene Musik
16.08.2006 12:16 404 errorlog.txt
16.08.2006 11:09 218.112 HijackThis.exe
16.08.2006 11:14 11.859 hijackthis.log
16.10.2005 19:22 <DIR> ICQ Lite
08.08.2006 15:58 <DIR> Meine empfangenen Dateien
16.08.2006 11:51 645 Meine freigegebenen Ordner.lnk
15.08.2006 14:05 8 neu.txt
16.08.2006 11:13 77.312 VundoFix.exe
16.08.2006 11:53 58.677 when_i_put___.jpg
08.08.2006 16:11 24.074.312 wmp11-windowsxp-x86-de-de.exe
16 Datei(en) 25.039.727 Bytes
8 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Program Files

05.06.2006 10:29 <DIR> .
05.06.2006 10:29 <DIR> ..
07.07.2005 01:58 <DIR> Desktop Themes
05.06.2006 10:29 <DIR> ICQLite
01.05.2006 19:15 <DIR> InterActual
21.06.2005 15:19 <DIR> Plus!
22.06.2005 06:35 <DIR> ScreensaverArtist
0 Datei(en) 0 Bytes
7 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Lokale Einstellungen\Temp

16.08.2006 12:35 <DIR> .
16.08.2006 12:35 <DIR> ..
16.08.2006 11:04 <DIR> pft6~tmp
16.08.2006 12:34 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}28922.html
16.08.2006 12:34 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}27783.html
16.08.2006 12:34 16.384 ~DF48BC.tmp
16.08.2006 12:34 512 ~DF48CB.tmp
16.08.2006 12:34 16.384 ~DF5502.tmp
16.08.2006 12:34 16.384 ~DFA804.tmp
16.08.2006 12:34 512 ~DFA920.tmp
16.08.2006 12:34 16.384 ~DFA930.tmp
16.08.2006 12:34 512 ~DFA947.tmp
16.08.2006 12:34 16.384 ~DFA957.tmp
16.08.2006 12:34 512 ~DFA965.tmp
16.08.2006 12:34 16.384 ~DFA975.tmp
16.08.2006 12:34 512 ~DFAAAF.tmp
13 Datei(en) 102.825 Bytes
3 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\WINDOWS\Temp

16.08.2006 12:35 <DIR> .
16.08.2006 12:35 <DIR> ..
16.08.2006 12:35 28.160 msoD.tmp
16.08.2006 12:35 8.008 vminst.log
16.08.2006 12:33 0 vmware-vmount.log
16.08.2006 12:35 <DIR> {31799B14-B3E7-4522-B393-6206C03EC5D3}
3 Datei(en) 36.168 Bytes
3 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Temp

16.08.2006 11:05 <DIR> .
16.08.2006 11:05 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme

16.08.2006 12:35 <DIR> .
16.08.2006 12:35 <DIR> ..
23.06.2006 13:02 <DIR> AntiVir PersonalEdition Classic
23.05.2005 16:58 <DIR> ComPlus Applications
31.10.2005 11:24 <DIR> CyberLink
01.05.2006 19:15 <DIR> DivX
04.08.2006 12:06 <DIR> Gemeinsame Dateien
04.07.2006 19:37 <DIR> HbTools
06.01.2006 21:53 <DIR> HbTools_Icons
19.05.2006 13:34 <DIR> ICQLite
25.05.2005 21:39 <DIR> IncrediMail
10.06.2006 09:21 460 INSTALL.LOG
07.01.2006 13:36 <DIR> Internet Explorer
01.05.2006 19:14 <DIR> InterVideo Information Service
15.07.2006 05:54 <DIR> iPod
17.12.2005 09:37 <DIR> Java
02.06.2006 21:07 <DIR> Macrogaming
16.08.2006 10:45 <DIR> Media-Codec
03.10.2005 13:41 <DIR> Messenger
23.05.2005 17:01 <DIR> microsoft frontpage
25.03.2006 11:04 <DIR> Microsoft Office
23.05.2005 16:59 <DIR> Movie Maker
16.08.2006 12:34 <DIR> Mozilla Firefox
23.05.2005 16:57 <DIR> MSN
23.05.2005 16:57 <DIR> MSN Gaming Zone
25.07.2006 10:07 <DIR> MSN Messenger
05.08.2006 09:19 <DIR> MyGlobalSearch
22.06.2006 22:40 <DIR> NetMeeting
07.01.2006 11:33 <DIR> Oberon Media
23.05.2005 16:57 <DIR> Online Services
23.05.2005 16:59 <DIR> Online-Dienste
23.05.2005 16:59 <DIR> Outlook Express
10.07.2006 20:39 <DIR> PARTREALROAM
01.05.2006 04:15 <DIR> Pegasys Inc
31.12.2005 13:33 <DIR> Pionstep USB Headset
06.04.2006 20:40 <DIR> QuickTime
08.06.2005 15:36 <DIR> Real
09.10.2005 16:40 <DIR> Roger Wilco
28.05.2006 16:02 <DIR> Save
05.06.2006 10:34 <DIR> ShopperReports
24.03.2006 13:25 <DIR> SplitCam
25.11.2005 18:45 <DIR> SpyAxe
16.08.2006 02:56 <DIR> SpyQuake2.com
24.03.2006 11:41 <DIR> Steinberg
11.03.2006 13:14 <DIR> TGTSoft
31.03.2005 23:17 40.960 Uninstall_CDS.exe
09.08.2005 13:19 <DIR> Viewpoint
31.03.2006 22:52 <DIR> Winamp
04.08.2006 12:07 <DIR> Windows Media Player
23.05.2005 16:57 <DIR> Windows NT
04.03.2006 16:17 <DIR> WinPcap
23.05.2005 17:01 <DIR> xerox
16.08.2006 12:35 <DIR> Zango
2 Datei(en) 41.420 Bytes
51 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Lokale Einstellungen\Anwendungsdaten

25.05.2005 22:16 <DIR> Adobe
05.06.2005 15:34 <DIR> Ahead
06.04.2006 20:46 <DIR> Apple Computer
06.08.2006 15:54 <DIR> ApplicationHistory
16.08.2006 11:20 184.320 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
07.01.2006 13:37 146 fusioncache.dat
17.06.2006 14:41 17.392 GDIPFONTCACHEV1.DAT
25.03.2006 11:02 <DIR> Google
25.05.2005 22:02 <DIR> Help
25.05.2005 22:10 <DIR> Identities
09.12.2005 22:21 <DIR> IM
28.02.2006 17:01 <DIR> Macromedia
18.07.2006 19:32 <DIR> Microsoft
12.11.2005 09:20 <DIR> Mozilla
06.08.2006 12:51 <DIR> QuickPar
05.03.2006 03:22 <DIR> ratDVD
11.07.2005 08:31 <DIR> Stardock
3 Datei(en) 201.858 Bytes
14 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten

16.08.2006 11:26 <DIR> .
16.08.2006 11:26 <DIR> ..
10.07.2006 20:39 <DIR> about draw link
22.01.2006 17:37 <DIR> Adobe
25.05.2005 22:16 <DIR> AdobeUM
07.04.2006 06:35 <DIR> Apple Computer
31.12.2005 16:36 <DIR> ArcSoft
12.11.2005 11:27 <DIR> Azureus
16.08.2006 12:31 118.701 CleanUp!.log
08.04.2006 09:35 <DIR> Cuttermaran
31.10.2005 11:57 <DIR> CyberLink
10.06.2006 09:24 <DIR> Gearbox Software
01.09.2005 14:39 <DIR> Google
04.07.2006 19:38 <DIR> HbTools
25.05.2005 22:02 <DIR> Help
10.06.2006 09:22 <DIR> ICQ
10.06.2006 09:30 <DIR> ICQLite
23.05.2005 17:05 <DIR> Identities
31.10.2005 11:27 <DIR> InterTrust
01.05.2006 19:26 <DIR> InterVideo
31.03.2006 18:25 <DIR> Macromedia
09.08.2005 13:19 <DIR> Mozilla
18.02.2006 20:42 <DIR> Mp3tag
03.09.2005 15:37 <DIR> MSN6
10.07.2006 20:39 <DIR> NetPumper
25.05.2005 13:32 <DIR> Opera
10.07.2006 20:39 <DIR> PARTREALROAM
25.05.2006 10:11 <DIR> Petroglyph
08.06.2005 15:58 <DIR> Real
24.03.2006 13:14 <DIR> SAM
07.08.2005 13:24 <DIR> SecuROM
25.07.2006 02:00 <DIR> ShopperReports
03.08.2006 21:59 <DIR> Skype
17.10.2005 10:20 <DIR> Sun
16.10.2005 19:28 <DIR> Talkback
14.08.2006 14:59 <DIR> teamspeak2
22.10.2005 22:43 <DIR> TuneUp Software
08.04.2006 15:48 <DIR> uTorrent
12.02.2006 10:48 <DIR> vlc
11.02.2006 18:06 <DIR> VMware
26.12.2005 20:28 <DIR> Xfire
1 Datei(en) 118.701 Bytes
40 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

23.06.2006 13:03 305 addr_file.html
22.01.2006 17:37 <DIR> Adobe
15.08.2006 12:43 <DIR> AntiVir PersonalEdition Classic
06.04.2006 20:39 <DIR> Apple Computer
10.07.2006 20:39 <DIR> build beep new locks
31.10.2005 11:24 <DIR> CyberLink
28.02.2006 16:22 <DIR> Macromedia
25.06.2005 10:02 <DIR> Macrovision
03.09.2005 15:37 <DIR> MSN6
22.10.2005 22:55 <DIR> nView_Profiles
24.03.2006 11:44 <DIR> Pinnacle
07.01.2006 18:10 <DIR> pixelStorm
04.06.2005 15:58 <DIR> PopCap
06.04.2006 20:46 1.786 QTSBandwidthCache
31.10.2005 11:31 <DIR> QuickTime
12.11.2005 23:38 <DIR> Skype
18.02.2006 12:01 <DIR> T-Online DSL-Manager
12.03.2006 14:14 <DIR> TuneUp Software
29.07.2006 13:08 <DIR> VMware
08.08.2006 16:15 <DIR> Windows Genuine Advantage
2 Datei(en) 2.091 Bytes
18 Verzeichnis(se), 1.830.850.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Gemeinsame Dateien

04.08.2006 12:06 <DIR> .
04.08.2006 12:06 <DIR> ..
31.10.2005 11:27 <DIR> Adobe
25.06.2005 10:02 <DIR> Adobe Systems Shared
25.05.2005 22:18 <DIR> Ahead
23.05.2005 16:59 <DIR> Dienste
25.05.2005 16:20 <DIR> InstallShield
01.05.2006 19:21 <DIR> InterVideo
03.06.2005 18:42 <DIR> Java
08.04.2006 08:50 <DIR> Macromedia
09.08.2005 02:48 <DIR> Macromedia Shared
04.08.2006 12:06 <DIR> MAGIX Shared
29.05.2006 23:20 <DIR> Microsoft Shared
09.08.2005 13:18 <DIR> mozilla.org
23.05.2005 16:58 <DIR> MSSoap
30.05.2005 13:04 <DIR> NSV
07.01.2006 11:33 <DIR> Oberon Media
23.05.2005 22:51 <DIR> ODBC
03.10.2005 22:38 <DIR> Real
23.05.2005 22:51 <DIR> SpeechEngines
11.07.2005 08:31 <DIR> Stardock
23.05.2005 16:59 <DIR> System
07.01.2006 15:41 <DIR> VMware
16.10.2005 14:18 <DIR> WhenU
22.10.2005 09:52 <DIR> WinSoftware
13.04.2006 16:48 <DIR> Wise Installation Wizard
03.10.2005 22:38 <DIR> xing shared
0 Datei(en) 0 Bytes
27 Verzeichnis(se), 1.830.850.560 Bytes frei
Seitenanfang Seitenende
16.08.2006, 12:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#137 Saarlandpowe

erstelle eine neu.bat und poste den text

Zitat

cd\
dir "C:\Programme\ShopperReports\Bin\1.1.0.0" >>files.txt
dir "C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\HbTools" >>files.txt
dir "C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\ShopperReports" >>files.txt
dir "C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\NetPumper" >>files.txt
dir "C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\about draw link" >>files.txt
dir "C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\WhenU" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\WinSoftware" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks" >>files.txt
dir "C:\Programme\PARTREALROAM" >>files.txt
dir "C:\Programme\MyGlobalSearch" >>files.txt
dir "C:\Programme\Save" >>files.txt
dir "C:\Programme\SpyAxe" >>files.txt
dir "C:\Programme\SpyQuake2.com" >>files.txt
dir "C:\Programme\HbTools_Icons" >>files.txt
dir "C:\Programme\HbTools\Bin\4.8.0.0" >>files.txt
dir "C:\WINDOWS\Temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 13:08
...neu hier
Avatar Saarlandpowe

Beiträge: 5
#138 Verzeichnis von C:\Programme\ShopperReports\Bin\1.1.0.0

06.01.2006 21:53 <DIR> .
06.01.2006 21:53 <DIR> ..
06.12.2005 13:27 1.114.112 ShprRprt.dll
1 Datei(en) 1.114.112 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\HbTools

04.07.2006 19:38 <DIR> .
04.07.2006 19:38 <DIR> ..
05.06.2006 15:20 <DIR> eskin
16.08.2006 13:09 344.062 HbTools.log
06.01.2006 22:05 <DIR> IESkins
06.01.2006 21:53 <DIR> v3.0
1 Datei(en) 344.062 Bytes
5 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\ShopperReports

25.07.2006 02:00 <DIR> .
25.07.2006 02:00 <DIR> ..
16.08.2006 11:43 <DIR> cs
16.08.2006 13:09 132.196 shprrprt.log
25.07.2006 00:39 500.784 shprrprt_1153785628.log
2 Datei(en) 632.980 Bytes
3 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\NetPumper

10.07.2006 20:39 <DIR> .
10.07.2006 20:39 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\about draw link

10.07.2006 20:39 <DIR> .
10.07.2006 20:39 <DIR> ..
10.07.2006 20:39 15.526 BoobCdrom.exe
1 Datei(en) 15.526 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM

10.07.2006 20:39 <DIR> .
10.07.2006 20:39 <DIR> ..
10.07.2006 20:39 368.582 lcqrjdju.exe
10.07.2006 20:39 201.314 mapi itch.exe
10.07.2006 20:39 10.498 stupiddata16.exe
3 Datei(en) 580.394 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Gemeinsame Dateien\WhenU

16.10.2005 14:18 <DIR> .
16.10.2005 14:18 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Gemeinsame Dateien\WinSoftware

22.10.2005 09:52 <DIR> .
22.10.2005 09:52 <DIR> ..
06.07.2005 17:17 102.400 CrXML.dll
19.08.2005 12:45 49.152 PCheck.dll
2 Datei(en) 151.552 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks

10.07.2006 20:39 <DIR> .
10.07.2006 20:39 <DIR> ..
10.07.2006 20:39 368.582 bore bags.exe
1 Datei(en) 368.582 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\PARTREALROAM

10.07.2006 20:39 <DIR> .
10.07.2006 20:39 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\MyGlobalSearch

05.08.2006 09:19 <DIR> .
05.08.2006 09:19 <DIR> ..
05.08.2006 09:19 <DIR> bar
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\Save

28.05.2006 16:02 <DIR> .
28.05.2006 16:02 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\SpyAxe

25.11.2005 18:45 <DIR> .
25.11.2005 18:45 <DIR> ..
27.07.2005 02:14 634.880 DbgHelp.Dll
25.11.2005 18:45 <DIR> Lang
27.07.2005 02:14 499.712 msvcp71.dll
27.07.2005 02:14 348.160 msvcr71.dll
25.11.2005 18:45 <DIR> Quarantine
24.11.2005 19:58 991.696 signatures.ref
24.11.2005 00:20 1.507.328 SpyAxe.exe
25.11.2005 18:45 47 SpyAxe.url
25.11.2005 18:45 35.119 uninst.exe
7 Datei(en) 4.016.942 Bytes
4 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\SpyQuake2.com

16.08.2006 02:56 <DIR> .
16.08.2006 02:56 <DIR> ..
16.08.2006 02:51 356 sq.ini
1 Datei(en) 356 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\HbTools_Icons

06.01.2006 21:53 <DIR> .
06.01.2006 21:53 <DIR> ..
31.05.2005 11:11 3.262 games2.ico
31.05.2005 11:12 25.358 wallpapere1.ico
2 Datei(en) 28.620 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\Programme\HbTools\Bin\4.8.0.0

04.07.2006 19:38 <DIR> .
04.07.2006 19:38 <DIR> ..
25.06.2006 15:27 172.032 Cml.exe
27.12.2001 15:57 294.912 dBenderC.dll
25.06.2006 15:27 73.728 HbtAds.dll
25.06.2006 15:28 591.512 HbtCoreSrv.dll
25.06.2006 15:26 253.952 HbtGuard.exe
25.06.2006 15:28 542.360 HbtHostIE.dll
25.06.2006 15:27 53.248 HbtHostOE.dll
25.06.2006 15:28 497.304 HbtHostOL.dll
25.06.2006 15:28 132.760 HbtInstIE.dll
25.06.2006 15:27 53.248 HbtOEAddOn.exe
25.06.2006 15:27 479.232 HbtSrv.exe
25.06.2006 15:27 1.060.864 HbtToolbar.dll
25.06.2006 15:28 255.640 HbtWallpaper.dll
25.06.2006 15:26 253.952 HbtWeatherOnTray.exe
14 Datei(en) 4.714.744 Bytes
2 Verzeichnis(se), 1.835.831.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04C8-A68B

Verzeichnis von C:\WINDOWS\Temp
Seitenanfang Seitenende
16.08.2006, 13:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#139 Saarlandpowe

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
-------------------------------------------------------
0.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

1.
smitfraudfix anwenden (option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
HKEY_LOCAL_MACHINE\SOFTWARE\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A}
HKEY_LOCAL_MACHINE\SOFTWARE\HbTools
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{66B90ADB-0BE3-40AE-8680-84A6F0577CA0}
HKEY_LOCAL_MACHINE\SOFTWARE\ShopperReports

Files to delete:

C:\WINDOWS\System32\vwlummc.dll
C:\WINDOWS\System32\ridactiz.exe
C:\Programme\SpyAxe\DbgHelp.Dll
C:\Programme\SpyAxe\msvcp71.dll
C:\Programme\SpyAxe\msvcr71.dll
C:\Programme\SpyAxe\signatures.ref
C:\Programme\SpyAxe\SpyAxe.exe
C:\Programme\SpyAxe\SpyAxe.url
C:\Programme\SpyAxe\uninst.exe
C:\Programme\SpyQuake2.com\sq.ini
C:\Programme\Media-Codec\iesplugin.dll
C:\Programme\Media-Codec\iesuninst.exe
C:\Programme\Media-Codec\isamini.exe
C:\Programme\Media-Codec\isauninst.exe
C:\Programme\Media-Codec\ot.ico
C:\Programme\Media-Codec\pmmon.exe
C:\Programme\Media-Codec\pmsngr.exe
C:\Programme\Media-Codec\pmuninst.exe
C:\Programme\Media-Codec\ts.ico
C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll
C:\Programme\ShopperReports\Uninst.exe
C:\Programme\ShopperReports\uninstall.exe
C:\Programme\HbTools_Icons\games2.ico
C:\Programme\HbTools_Icons\wallpapere1.ico
C:\Programme\Hbtools\HBTV\HBTV.exe
C:\Programme\Hbtools\HBTV\hbtvau.dat
C:\Programme\Hbtools\HBTV\HBTVHelper.dll
C:\Programme\Hbtools\HBTV\hbtv_gdf.dat
C:\Programme\Hbtools\HBTV\hbtv_hpk.dat
C:\Programme\Hbtools\HBTV\hbtv_kyf.dat
C:\Programme\Hbtools\HBTV\uninstaller.exe
C:\Programme\HbTools\Bin\4.8.0.0\Cml.exe
C:\Programme\HbTools\Bin\4.8.0.0\dBenderC.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtAds.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtCoreSrv.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtGuard.exe
C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtHostOE.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtHostOL.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtInstIE.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtOEAddOn.exe
C:\Programme\HbTools\Bin\4.8.0.0\HbtSrv.exe
C:\Programme\HbTools\Bin\4.8.0.0\HbtToolbar.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtWallpaper.dll
C:\Programme\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe
C:\Programme\HbTools\Bin\HbtUninst.exe
C:\Programme\HbTools\HbTools.log
C:\Programme\HbTools\HbTools_1143824580.log
C:\Programme\HbTools\HbTools_1149515011.log
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\HbTools\HbTools.log
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\ShopperReports\shprrprt.log
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\ShopperReports\shprrprt_1153785628.log
C:\Programme\Macrogaming\SweetIMBarForIE\affid.dat
C:\Programme\Macrogaming\SweetIMBarForIE\basis.xml
C:\Programme\Macrogaming\SweetIMBarForIE\Bookmarks_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\Email_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\Games_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\Greetingcards_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\Mobile_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\Music_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\News_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\Shoping_23x18.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\SmileySmile.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\SmileyWink.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\sweetimicons.bmp
C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.crc
C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.xml
C:\Programme\Macrogaming\SweetIMBarForIE\version.txt
C:\Programme\zango\zango.exe
C:\Programme\zango\zangoau.dat
C:\Programme\zango\zangohook.dll
C:\Programme\zango\zango_gdf.dat
C:\Programme\zango\zango_hpk.dat
C:\Programme\zango\zango_kyf.dat
C:\WINDOWS\Downloaded Program Files\ClientAX.dll
C:\WINDOWS\Downloaded Program Files\popcaploader.inf
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\about draw link\BoobCdrom.exe
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM\lcqrjdju.exe
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM\mapi itch.exe
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM\stupiddata16.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks\bore bags.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: (no name) - {20FC20CC-D2FB-C496-A860-FFE34631D6E2} - C:\DOKUME~1\SAARLA~1\ANWEND~1\about draw link\BoobCdrom.exe
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll
O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E3D77C5A74472B3AC2 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\programme\hbtools\hbtv\hbtvhelper.dll
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D77F5E7B4F2F3EC5 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O3 - Toolbar: (no name) - {00000000-5736-4205-0008-781cd0e19f00} - (no file)

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O4 - HKLM\..\Run: [zxpxeyay] C:\WINDOWS\System32\ridactiz.exe
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.8.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [NEW LOCKS WAY BOWS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks\bore bags.exe
O4 - HKCU\..\Run: [jugs more] C:\DOKUME~1\SAARLA~1\ANWEND~1\PARTREALROAM\mapi itch.exe

O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll

O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O18 - Protocol: icoo - {86FE362E-74FA-4F71-8B69-B94D28880628} - (no file)

O20 - Winlogon Notify: st3 - C:\WINDOWS\q2336406.dll (file missing)
O20 - Winlogon Notify: style2 - C:\WINDOWS\q166187.dll (file missing)
O20 - Winlogon Notify: style32 - C:\WINDOWS\q65744468.dll (file missing)
O21 - SSODL: hubbsi - {7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885} - C:\WINDOWS\System32\vwlummc.dll


PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen

loeschen:

C:\WINDOWS\Temp\{31799B14-B3E7-4522-B393-6206C03EC5D3}
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\HbTools
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\ShopperReports
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\about draw link
C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks

C:\Programme\Gemeinsame Dateien\WhenU

C:\Programme\Media-Codec
C:\Programme\ShopperReports
C:\Programme\Hbtools
C:\Programme\Macrogaming
C:\Programme\zango
C:\Programme\PARTREALROAM
C:\Programme\HbTools_Icons
C:\Programme\Save
C:\Programme\MyGlobalSearch

--------------------------------------------------------
**
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Remove

**
poste den scanreport

---------------------------------------------------------

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 15:51
...neu hier
Avatar Saarlandpowe

Beiträge: 5
#140 Kann komischerweiße nicht im Abgesichten Modus starten.. er startet dann automatsichw enn er zum anmeldebilschirm kommt wieder neu -.-'

Hier mal die Logs:

Avenger:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1114
Line: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{66B90ADB-0BE3-40AE-8680-84A6F0577CA0}


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uwhkgpfg

*******************

Script file located at: \??\C:\Program Files\bprkgfgc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\vwlummc.dll not found!
Deletion of file C:\WINDOWS\System32\vwlummc.dll failed!

Could not process line:
C:\WINDOWS\System32\vwlummc.dll
Status: 0xc0000034

File C:\WINDOWS\System32\ridactiz.exe deleted successfully.


Could not open file C:\Programme\SpyAxe\DbgHelp.Dll for deletion
Deletion of file C:\Programme\SpyAxe\DbgHelp.Dll failed!

Could not process line:
C:\Programme\SpyAxe\DbgHelp.Dll
Status: 0xc000003a



Could not open file C:\Programme\SpyAxe\msvcp71.dll for deletion
Deletion of file C:\Programme\SpyAxe\msvcp71.dll failed!

Could not process line:
C:\Programme\SpyAxe\msvcp71.dll
Status: 0xc000003a



Could not open file C:\Programme\SpyAxe\msvcr71.dll for deletion
Deletion of file C:\Programme\SpyAxe\msvcr71.dll failed!

Could not process line:
C:\Programme\SpyAxe\msvcr71.dll
Status: 0xc000003a



Could not open file C:\Programme\SpyAxe\signatures.ref for deletion
Deletion of file C:\Programme\SpyAxe\signatures.ref failed!

Could not process line:
C:\Programme\SpyAxe\signatures.ref
Status: 0xc000003a



Could not open file C:\Programme\SpyAxe\SpyAxe.exe for deletion
Deletion of file C:\Programme\SpyAxe\SpyAxe.exe failed!

Could not process line:
C:\Programme\SpyAxe\SpyAxe.exe
Status: 0xc000003a



Could not open file C:\Programme\SpyAxe\SpyAxe.url for deletion
Deletion of file C:\Programme\SpyAxe\SpyAxe.url failed!

Could not process line:
C:\Programme\SpyAxe\SpyAxe.url
Status: 0xc000003a



Could not open file C:\Programme\SpyAxe\uninst.exe for deletion
Deletion of file C:\Programme\SpyAxe\uninst.exe failed!

Could not process line:
C:\Programme\SpyAxe\uninst.exe
Status: 0xc000003a



Could not open file C:\Programme\SpyQuake2.com\sq.ini for deletion
Deletion of file C:\Programme\SpyQuake2.com\sq.ini failed!

Could not process line:
C:\Programme\SpyQuake2.com\sq.ini
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\iesplugin.dll for deletion
Deletion of file C:\Programme\Media-Codec\iesplugin.dll failed!

Could not process line:
C:\Programme\Media-Codec\iesplugin.dll
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\iesuninst.exe for deletion
Deletion of file C:\Programme\Media-Codec\iesuninst.exe failed!

Could not process line:
C:\Programme\Media-Codec\iesuninst.exe
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\isamini.exe for deletion
Deletion of file C:\Programme\Media-Codec\isamini.exe failed!

Could not process line:
C:\Programme\Media-Codec\isamini.exe
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\isauninst.exe for deletion
Deletion of file C:\Programme\Media-Codec\isauninst.exe failed!

Could not process line:
C:\Programme\Media-Codec\isauninst.exe
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\ot.ico for deletion
Deletion of file C:\Programme\Media-Codec\ot.ico failed!

Could not process line:
C:\Programme\Media-Codec\ot.ico
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\pmmon.exe for deletion
Deletion of file C:\Programme\Media-Codec\pmmon.exe failed!

Could not process line:
C:\Programme\Media-Codec\pmmon.exe
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\pmsngr.exe for deletion
Deletion of file C:\Programme\Media-Codec\pmsngr.exe failed!

Could not process line:
C:\Programme\Media-Codec\pmsngr.exe
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\pmuninst.exe for deletion
Deletion of file C:\Programme\Media-Codec\pmuninst.exe failed!

Could not process line:
C:\Programme\Media-Codec\pmuninst.exe
Status: 0xc000003a



Could not open file C:\Programme\Media-Codec\ts.ico for deletion
Deletion of file C:\Programme\Media-Codec\ts.ico failed!

Could not process line:
C:\Programme\Media-Codec\ts.ico
Status: 0xc000003a

File C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll deleted successfully.
File C:\Programme\ShopperReports\Uninst.exe deleted successfully.
File C:\Programme\ShopperReports\uninstall.exe deleted successfully.
File C:\Programme\HbTools_Icons\games2.ico deleted successfully.
File C:\Programme\HbTools_Icons\wallpapere1.ico deleted successfully.
File C:\Programme\Hbtools\HBTV\HBTV.exe deleted successfully.
File C:\Programme\Hbtools\HBTV\hbtvau.dat deleted successfully.
File C:\Programme\Hbtools\HBTV\HBTVHelper.dll deleted successfully.
File C:\Programme\Hbtools\HBTV\hbtv_gdf.dat deleted successfully.
File C:\Programme\Hbtools\HBTV\hbtv_hpk.dat deleted successfully.
File C:\Programme\Hbtools\HBTV\hbtv_kyf.dat deleted successfully.
File C:\Programme\Hbtools\HBTV\uninstaller.exe deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\Cml.exe deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\dBenderC.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtAds.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtCoreSrv.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtGuard.exe deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtHostOE.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtHostOL.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtInstIE.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtOEAddOn.exe deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtSrv.exe deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtToolbar.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtWallpaper.dll deleted successfully.
File C:\Programme\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe deleted successfully.
File C:\Programme\HbTools\Bin\HbtUninst.exe deleted successfully.
File C:\Programme\HbTools\HbTools.log deleted successfully.
File C:\Programme\HbTools\HbTools_1143824580.log deleted successfully.
File C:\Programme\HbTools\HbTools_1149515011.log deleted successfully.
File C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\HbTools\HbTools.log deleted successfully.
File C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\ShopperReports\shprrprt.log deleted successfully.
File C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\ShopperReports\shprrprt_1153785628.log deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\affid.dat deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\basis.xml deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\Bookmarks_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\Email_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\Games_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\Greetingcards_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\Mobile_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\Music_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\News_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\Shoping_23x18.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\SmileySmile.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\SmileyWink.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\sweetimicons.bmp deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.crc deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.xml deleted successfully.
File C:\Programme\Macrogaming\SweetIMBarForIE\version.txt deleted successfully.
File C:\Programme\zango\zango.exe deleted successfully.
File C:\Programme\zango\zangoau.dat deleted successfully.
File C:\Programme\zango\zangohook.dll deleted successfully.
File C:\Programme\zango\zango_gdf.dat deleted successfully.
File C:\Programme\zango\zango_hpk.dat deleted successfully.
File C:\Programme\zango\zango_kyf.dat deleted successfully.
File C:\WINDOWS\Downloaded Program Files\ClientAX.dll deleted successfully.


File C:\WINDOWS\Downloaded Program Files\popcaploader.inf not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\popcaploader.inf failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\popcaploader.inf
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\about draw link\BoobCdrom.exe deleted successfully.
File C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM\lcqrjdju.exe deleted successfully.
File C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM\mapi itch.exe deleted successfully.
File C:\Dokumente und Einstellungen\Saarlandpower\Anwendungsdaten\PARTREALROAM\stupiddata16.exe deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks\bore bags.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\zango deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\HbTools deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\ShopperReports deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

rapport.txt:

SmitFraudFix v2.81

Scan done at 14:13:54,71, 16.08.2006
Run from C:\Dokumente und Einstellungen\Saarlandpower\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}"="style 2"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}"="Reload Browse"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}"="st3"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"hubbsi"="{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\vwlummc.dll -> Hoax.Win32.Renos.gen.bHoax.Win32.Renos.gen.c
C:\WINDOWS\System32\vwlummc.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\st3.dll Deleted
C:\DOKUME~1\SAARLA~1\STARTM~1\SpyAxe 3.0.lnk Deleted
C:\DOKUME~1\SAARLA~1\STARTM~1\PROGRA~1\SpyAxe Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\Media-Codec\ Deleted
C:\Programme\SpyAxe\ Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:26:02, on 16.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\spd.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\Programme\MyServer\myServer.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Sentry\SentryService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
D:\Programme\WebDrive\wdService.exe
C:\WINDOWS\System32\sstray.exe
D:\Programme\cFosSpeed.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
F:\Programme\ICQLite\ICQLite.exe
D:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
D:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Saarlandpower\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\Programme\WinSweep\no-ads.pac
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: (no name) - {20FC20CC-D2FB-C496-A860-FFE34631D6E2} - C:\DOKUME~1\SAARLA~1\ANWEND~1\about draw link\BoobCdrom.exe (file missing)
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {00000000-5736-4205-0008-781cd0e19f00} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll (file missing)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cFosSpeed.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zxpxeyay] C:\WINDOWS\System32\ridactiz.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.8.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [NEW LOCKS WAY BOWS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks\bore bags.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [jugs more] C:\DOKUME~1\SAARLA~1\ANWEND~1\PARTREALROAM\mapi itch.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] "D:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O18 - Protocol: icoo - {86FE362E-74FA-4F71-8B69-B94D28880628} - (no file)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0792.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0792.00.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\spd.exe" -service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MyServer - Unknown owner - D:\Programme\MyServer\myServer.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sentry 2020 (SentryService) - Unknown owner - D:\Programme\Sentry\SentryService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\SAARLA~1\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: WebDrive Service (WebDriveService) - South River Technologies, LLC - D:\Programme\WebDrive\wdService.exe
Seitenanfang Seitenende
16.08.2006, 20:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#141 Saarlandpowe

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: (no name) - {20FC20CC-D2FB-C496-A860-FFE34631D6E2} - C:\DOKUME~1\SAARLA~1\ANWEND~1\about draw link\BoobCdrom.exe (file missing)
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll (file missing)

O3 - Toolbar: (no name) - {00000000-5736-4205-0008-781cd0e19f00} - (no file)
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.0.0\HbtHostIE.dll (file missing)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O4 - HKLM\..\Run: [zxpxeyay] C:\WINDOWS\System32\ridactiz.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.8.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [NEW LOCKS WAY BOWS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\build beep new locks\bore bags.exe

O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)

O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O18 - Protocol: icoo - {86FE362E-74FA-4F71-8B69-B94D28880628} - (no file)
pc neustarten

**
Counterspy, stelle nach dem scan alles auf "remove" und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 21:49
...neu hier

Beiträge: 7
#142 Hallo Sabina, alles soweit abgearbeitet

hier nun der scanreport von kaspersky: 3 Viren gefunden

C:\WINDOWS
C:\DOKUME~1\HASI&S~1\LOKALE~1\Temp\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 22576
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:14:04

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallQ828026$\wmp.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\sptd4333.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\vaxscsi.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

C:\DOKUME~1\HASI&S~1\LOKALE~1\Temp\~DFD3F3.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.






Untersuchte Objekte insgesamt 149673
Viren gefunden 3
Infizierte Objekte gefunden 6 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:25:58

Name des infizierten Objekts Virusname Letzte Aktion
C:\avenger\backup.zip/avenger/nvsvcd.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen

C:\avenger\backup.zip/avenger/viruxz.dll Infizierte Objekte: not-virus:Hoax.Win32.Renos.dp übersprungen

C:\avenger\backup.zip ZIP: infiziert - 2 übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Anwendungsdaten\Identities\{7CD955F8-0359-447F-BEB1-83B2408F0170}\Microsoft\Outlook Express\Folders.dbx Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Anwendungsdaten\Identities\{7CD955F8-0359-447F-BEB1-83B2408F0170}\Microsoft\Outlook Express\Offline.dbx Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Anwendungsdaten\Identities\{7CD955F8-0359-447F-BEB1-83B2408F0170}\Microsoft\Outlook Express\Posteingang.dbx Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Temp\~DFD3F3.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006081620060817\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Hasi & Schnecke\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-08-16.18-49-01.log Das Objekt ist gesperrt übersprungen

C:\Programme\CA\eTrust Antivirus\DB\rtmaster.dbf Das Objekt ist gesperrt übersprungen

C:\Programme\CA\eTrust Antivirus\DB\rtmaster.ntx Das Objekt ist gesperrt übersprungen

C:\Programme\FRITZ!DSL\access\access.lock Das Objekt ist gesperrt übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP60\A0030338.exe Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP65\A0030887.reg Infizierte Objekte: Trojan.Win32.Inject.y übersprungen

C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP65\A0030890.reg Infizierte Objekte: Trojan.Win32.Inject.y übersprungen

C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP65\A0030897.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen

C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP65\A0030904.dll Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP65\change.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallQ828026$\wmp.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\sptd4333.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\vaxscsi.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

D:\Neustart\eMule\Temp\002.part Das Objekt ist gesperrt übersprungen

D:\Neustart\eMule\Temp\005.part Das Objekt ist gesperrt übersprungen

D:\Neustart\eMule\Temp\006.part Das Objekt ist gesperrt übersprungen

D:\Neustart\eMule\Temp\009.part Das Objekt ist gesperrt übersprungen

D:\Neustart\eMule\Temp\026.part Das Objekt ist gesperrt übersprungen

D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

D:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP65\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Seitenanfang Seitenende
16.08.2006, 21:49
...neu hier
Avatar Saarlandpowe

Beiträge: 5
#143 Alles was du aufgezählt hast ist schon weg...
Seitenanfang Seitenende
16.08.2006, 22:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#144 Antispyware

1.
loesche: C:\avenger\backup.zip

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren
(dann wieder aktivieren)

3.
scanne und poste den report
http://virus-protect.org/artikel/tools/fprot.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 22:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#145

Zitat

Saarlandpowe postete
Alles was du aufgezählt hast ist schon weg...
dann zeig es mir, poste das neue Log vom HijackThis, dann scanne mit Counterspy, stelle alles auf "remove" nach dem scan und poste auch diesen Report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2006, 16:36
...neu hier

Beiträge: 7
#146 Macht bei mir keinen scan
Habe auch kein Diskettenlaufwerk
¨X¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨[
¨U Alert! ¨U
¨U ¨U
¨U There is no A: diskette drive defined in the CMOS !! ¨U
¨U ¨U
¨U Some viruses, such as ExeBug use this trick to prevent ¨U
¨U a "clean" boot from a floppy. ¨U
¨U ¨U
¨U In the event that this computer really does not have ¨U
¨U a drive A: or has an external floppy drive (as Compaq ¨U
¨U Aero does), you need to run F-PROT with the /NOFLOPPY ¨U
¨U command-line switch. ¨U
¨U ¨U
¨U Otherwise you should fix this problem with SETUP, save ¨U
¨U the changes, turn the computer off and boot from a ¨U
¨U "clean" diskette before running F-PROT. ¨U
¨U ¨U
¨U Press any key to continue. ¨U
¨^¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨a
Seitenanfang Seitenende
17.08.2006, 17:57
...neu hier

Beiträge: 1
#147 hallo @ all

hab gerade selber dieses problem gelößt ;)

hab sogar ne recht simple!!!! methode gefunden - stolz sei ;) -

Also als erstes müßt ihr euch den "Spyware Doctor" holen,
z.B. hier: http://www.pctools.com/spyware-doctor/?ref=google_sd

1. SD auf den rechner downloaden (klick: "scan now")

2. SD installieren und Scan durchführen (Vollständiger Scan)

3. Spyware Doc zeigt nach dem scan alle "bösen" Dateien & Progs an, alles alphabetisch geordnet - unter "s" findet ihr SpywareQuake

4. schaut euch alle dateien und Registrierungsschlüssel an und löscht diese

- HKCR steht für HKEY_CLASSES_ROOT

- HKLM steht für HKEY_LOCAL_MACHINE

wenn ihr alle schlüssel gelöscht habt und danach den rechner neu startet ist alles wieder ok. Es genügt den Hauptschlüssel zu löschen, dann sind alle Unterschlüssel auch weg, man muß sie nicht einzeln löschen.

jetzt viel glück bei euer Operation

gruß micha
Seitenanfang Seitenende
17.08.2006, 21:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#148 Antispyware

poste bitte das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2006, 04:45
...neu hier

Beiträge: 7
#149 Ich hoffe ich hab alles richtig gemacht. Nochmal der neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 04:43:54, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
18.08.2006, 13:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#150 Antispyware

scanne zum abschluss noch mit dr.web und poste den scanreport.
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: