AV-Meldung: TR/Proxy.Lager.AQ.1 und TR/Dldr.Small.skn.1

#1 Mein Antivir meldet mir oben genannte Trojaner und keine der bei Antivir verfügbaren Funktionen zeigt Effekt. Ich habe zwar ncoh keine Probleme bemerkt, aber würde doch wissen wie ich diesen mist wieder los werde.

mfg
v!nce

#2 vincebo

proxy_lager - parad.raw.exe
http://virus-protect.org/artikel/spyware/proxy_lager.html

-------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 CleanUp! stürzt nach 3 erneuten AV-Meldungen ab (has encountered a problem blabla). Übrigens steht im Pfad wenn o.g. Trojaner gemeldet werden .../sytem32/downloader.exe.

datfind.bat:

Volume in drive D is FILES
Volume Seri*hier nicht!* Number is 303A-16D6

Directory of D:\WINDOWS\system32

29.03.2006 20:30 6.353 downloader.exe
29.03.2006 14:38 69 ntsdd.txt
28.03.2006 21:04 2.240 wpa.dbl
28.03.2006 19:11 32.758 mmf32.exe
28.03.2006 14:03 0 setup_65083.exe
28.03.2006 14:03 69 i
28.03.2006 13:31 0 TFTP18460
28.03.2006 13:20 4.608 taskdir.dll
28.03.2006 13:02 46.592 zlbw.dll
28.03.2006 13:01 4 winsub.xml
28.03.2006 13:01 51.116 taskdir.exe
28.03.2006 13:01 51.116 parad.raw.exe
28.03.2006 13:01 58 svcp.csv
28.03.2006 11:31 28 xbccd.log
28.03.2006 09:23 0 TFTP210360
28.03.2006 07:30 0 bbot.exe.chech
28.03.2006 07:30 32.758 mmsvc32.exe
26.03.2006 10:40 90.296 FNTCACHE.DAT
02.03.2006 21:06 552 d3d8caps.dat
27.02.2006 17:52 6.675 jupdate-1.5.0_06-b05.log
20.02.2006 10:59 176.167 rmoc3260.dll
20.02.2006 10:59 5.632 pndx5032.dll
20.02.2006 10:59 6.656 pndx5016.dll
20.02.2006 10:59 278.528 pncrt.dll
16.02.2006 19:50 23.392 nscompat.tlb
16.02.2006 19:50 16.832 amcompat.tlb
16.02.2006 19:41 40.128 perfc009.dat
16.02.2006 19:41 1.606 PerfStringBackup.TMP
16.02.2006 19:41 311.740 perfh009.dat
16.02.2006 18:44 25.065 wmpscheme.xml
16.02.2006 18:42 688 $winnt$.inf
16.02.2006 18:41 2.577 CONFIG.NT
16.02.2006 18:40 488 logonui.exe.manifest
16.02.2006 18:40 488 WindowsLogon.manifest
16.02.2006 18:40 749 cdplayer.exe.manifest
16.02.2006 18:40 749 sapi.cpl.manifest
16.02.2006 18:40 749 nwc.cpl.manifest
16.02.2006 18:40 749 ncpa.cpl.manifest
16.02.2006 18:40 749 wuaucpl.cpl.manifest
16.02.2006 18:39 356.120 PerfStringBackup.INI
16.02.2006 18:39 21.640 emptyregdb.dat
16.02.2006 18:36 0 h323log.txt
26.01.2006 08:57 520.192 ati2sgag.exe
25.01.2006 04:52 255.488 ati2dvag.dll
25.01.2006 04:47 114.688 atipdlxx.dll
25.01.2006 04:47 77.824 Oemdspif.dll
25.01.2006 04:46 26.112 Ati2mdxx.exe
25.01.2006 04:46 41.472 ati2edxx.dll
25.01.2006 04:46 61.440 ati2evxx.dll
25.01.2006 04:45 405.504 ati2evxx.exe
25.01.2006 04:44 53.248 ATIDDC.DLL
25.01.2006 04:36 2.604.128 ati3duag.dll
25.01.2006 04:30 6.684.672 atioglx1.dll
25.01.2006 04:30 860.192 ativvaxx.dll
25.01.2006 04:28 307.200 atiiiexx.dll
25.01.2006 04:16 151.552 atikvmag.dll
25.01.2006 04:16 17.408 atitvo32.dll
25.01.2006 04:13 5.115.904 atioglxx.dll
25.01.2006 04:10 258.048 ati2cqag.dll
25.01.2006 03:29 282.624 ATIDEMGR.dll
18.01.2006 13:05 57.344 avsda.dll

hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 20:38:41, on 29.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\TuneUp WinStyler\WinStylerThemeSvc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Program Files\DAEMON Tools\daemon.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\QuickTime\qttask.exe
D:\WINDOWS\System32\mmsvc32.exe
C:\Program Files\TechniSat DVB\bin\Server4PC.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wdfmgr.exe
c:\progra~2\winamp\winamp.exe
D:\miranda\miranda32.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\DVBViewerTE\dvbviewer.exe
D:\Documents and Settings\v!nce\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Network Services Controller] D:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Program Files\TuneUp WinStyler\WinStylerThemeSvc.exe

folgende 3 sachen sind mir noch aufgefallen:
auf meiner nicht-windows platte gibt es ein verzeichnis in meinem esel-incoming folder, in dem nur filme sind und in dem seit midestens 2 wochen keine datei mehr abgelegt wurde, auf das ich nicht mehr zugreifen kann, noch nicht einmal mit einem klick markieren.

ausserdem ist mein upstream stark eingeschränkt.

luke filewalker stürzt ab wenn ich ihn auf dem laufwerk laufen lasse.

#4 vincebo

ich brauche noch die anderen drei Logs von datfinbat

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

und........ wieso hast du keine Windowsupdates gemacht ? Normalerweise reinige ich keine ungepatchten Systeme (trotz deinem schicken Visa...) ...
Auf deinem System haben sich Trojaner breitgemacht, die ueber anonyme FTP-Server runterladen, was sie wollen...und die kontrolle ueber dein System uebernommen haben

Zitat

D:\WINDOWS\system32\downloader.exe
D:\WINDOWS\system32\ntsdd.txt
D:\WINDOWS\system32\mmf32.exe
D:\WINDOWS\system32\setup_65083.exe
D:\WINDOWS\system32\i
D:\WINDOWS\system32\TFTP18460
D:\WINDOWS\system32\taskdir.dll
D:\WINDOWS\system32\zlbw.dll
D:\WINDOWS\system32\winsub.xml
D:\WINDOWS\system32\taskdir.exe
D:\WINDOWS\system32\parad.raw.exe
D:\WINDOWS\system32\svcp.csv
D:\WINDOWS\system32\xbccd.log
D:\WINDOWS\system32\TFTP210360
D:\WINDOWS\system32\bbot.exe.chech
D:\WINDOWS\system32\mmsvc32.exe

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Volume in drive D is FILES
Volume Seri*hier nicht!* Number is 303A-16D6

Directory of D:\DOCUME~1\v!nce\LOCALS~1\Temp

30.03.2006 16:44 16.384 ~DFAB38.tmp
30.03.2006 16:43 0 JETE.tmp
29.03.2006 22:54 0 WER3F.tmp
29.03.2006 22:54 0 WER3E.tmp
29.03.2006 22:54 0 WER3D.tmp
29.03.2006 22:54 0 WER3C.tmp
29.03.2006 22:54 0 WER3B.tmp
29.03.2006 22:54 0 WER3A.tmp
29.03.2006 22:54 0 WER42.tmp
29.03.2006 22:54 0 WER39.tmp
29.03.2006 22:54 0 WER38.tmp
29.03.2006 22:54 0 WER37.tmp
29.03.2006 22:54 0 WER40.tmp
29.03.2006 22:54 0 WER36.tmp
29.03.2006 22:54 0 WER35.tmp
29.03.2006 22:54 0 WER44.tmp
29.03.2006 22:54 0 WER34.tmp
29.03.2006 22:54 0 WER45.tmp
29.03.2006 22:54 0 WER32.tmp
29.03.2006 22:54 0 WER31.tmp
29.03.2006 22:54 0 WER46.tmp
29.03.2006 22:54 0 WER48.tmp
29.03.2006 22:54 0 WER47.tmp
29.03.2006 22:54 0 WER43.tmp
29.03.2006 22:54 0 WER41.tmp
29.03.2006 22:54 0 WER49.tmp
29.03.2006 22:54 0 WER30.tmp
29.03.2006 22:54 16.384 ~DF4AF3.tmp
29.03.2006 22:54 16.384 ~DFF055.tmp
29.03.2006 21:07 4.938.984 MetacafeSetup.exe
29.03.2006 21:06 564.224 MetacafeDllDownloader.dll
29.03.2006 20:39 12.238 jusched.log
29.03.2006 20:27 326.146 FA56E.dmp
29.03.2006 20:27 16.384 ~DF6A77.tmp
29.03.2006 20:27 16.384 ~DFEDBA.tmp
29.03.2006 20:26 0 WER33.tmp
29.03.2006 15:42 0 WER2B.tmp
29.03.2006 15:42 0 WER2A.tmp
29.03.2006 15:42 0 WER29.tmp
29.03.2006 15:42 0 WER28.tmp
29.03.2006 15:42 0 WER27.tmp
29.03.2006 15:42 0 WER26.tmp
29.03.2006 15:42 0 WER25.tmp
29.03.2006 15:42 0 WER24.tmp
29.03.2006 15:42 0 WER23.tmp
29.03.2006 15:42 0 WER2D.tmp
29.03.2006 15:42 0 WER2C.tmp
29.03.2006 15:42 0 WER21.tmp
29.03.2006 15:42 0 WER20.tmp
29.03.2006 15:42 0 WER1F.tmp
29.03.2006 15:42 0 WER1E.tmp
29.03.2006 15:42 0 WER1D.tmp
29.03.2006 15:42 0 WER1C.tmp
29.03.2006 15:42 0 WER1B.tmp
29.03.2006 15:42 0 WER1A.tmp
29.03.2006 15:42 0 WER17.tmp
29.03.2006 15:42 16.384 ~DFE906.tmp
29.03.2006 15:42 0 WER16.tmp
29.03.2006 15:42 0 WER2E.tmp
29.03.2006 15:42 0 WER2F.tmp
29.03.2006 15:42 0 WER15.tmp
29.03.2006 15:42 0 WER22.tmp
28.03.2006 22:18 16.384 ~DFFD5.tmp
28.03.2006 21:07 16.384 ~DF42AD.tmp
28.03.2006 21:07 16.384 ~DF420F.tmp
28.03.2006 21:03 16.384 ~DFB874.tmp
28.03.2006 20:01 0 2EFEA3.dmp
28.03.2006 13:42 0 14BCA7.dmp
28.03.2006 13:32 16.384 ~DF5D5C.tmp
28.03.2006 13:20 0 JETD.tmp
28.03.2006 13:18 16.384 ~DFCB2D.tmp
28.03.2006 13:18 16.384 ~DFCBE2.tmp
28.03.2006 13:08 16.384 ~DF770D.tmp
28.03.2006 12:58 16.384 ~DF4096.tmp
28.03.2006 11:30 16.384 ~DFFEAD.tmp
27.03.2006 22:53 16.384 ~DFF94.tmp
27.03.2006 08:45 939 jupdate1.5.0.xml
26.03.2006 22:28 16.384 ~DF18E5.tmp
26.03.2006 15:26 283 wahtmltmp00.htm
26.03.2006 12:44 16.384 ~DFB7FC.tmp
26.03.2006 12:44 16.384 ~DFB889.tmp
25.03.2006 16:49 16.384 ~DF9C0.tmp
23.03.2006 21:26 16.384 ~DF7E33.tmp
23.03.2006 21:26 16.384 ~DF7AFF.tmp
23.03.2006 21:15 0 JETC.tmp
23.03.2006 20:54 16.384 ~DF7CB3.tmp
23.03.2006 20:13 0 JETB.tmp
22.03.2006 22:15 16.384 ~DF5CAC.tmp
22.03.2006 22:15 16.384 ~DF8BFC.tmp
21.03.2006 22:14 16.384 ~DFFC97.tmp
20.03.2006 22:28 16.384 ~DFA638.tmp
19.03.2006 22:00 16.384 ~DF1DF9.tmp
18.03.2006 20:56 16.384 ~DFDDAA.tmp
18.03.2006 15:47 6.871.297 Azureus2.4.0.2.jar
18.03.2006 15:43 4.862 AZU20849.tmp
16.03.2006 22:10 16.384 ~DF3B74.tmp
16.03.2006 20:25 16.384 ~DFCACD.tmp
16.03.2006 20:24 16.384 ~DFB46C.tmp
16.03.2006 20:10 0 JETA.tmp
15.03.2006 22:24 16.384 ~DFB289.tmp
15.03.2006 20:36 1.628 java_install_reg.log
14.03.2006 22:23 16.384 ~DF9963.tmp
14.03.2006 20:18 0 fla11.tmp
13.03.2006 21:58 0 is14.tmp
13.03.2006 21:54 0 is11.tmp
13.03.2006 21:51 16.384 ~DF34C2.tmp
13.03.2006 11:21 0 fla1D.tmp
12.03.2006 22:29 16.384 ~DFFCE7.tmp
12.03.2006 20:30 0 397C10.dmp
12.03.2006 20:30 0 WER19.tmp
12.03.2006 18:29 16.384 ~DFD5A9.tmp
12.03.2006 18:29 16.384 ~DFD51D.tmp
12.03.2006 17:44 0 JET9.tmp
12.03.2006 17:32 16.384 ~DF61A1.tmp
11.03.2006 23:08 16.384 ~DFAE61.tmp
11.03.2006 14:55 32.768 plugtmp
11.03.2006 14:47 0 JET8.tmp
11.03.2006 11:31 16.384 ~DF135A.tmp
11.03.2006 11:16 0 JET7.tmp
09.03.2006 22:31 16.384 ~DFBE2A.tmp
09.03.2006 18:12 226 05EE1EEF.TMP
08.03.2006 22:04 16.384 ~DFFE3D.tmp
07.03.2006 21:10 16.384 ~DF1423.tmp
07.03.2006 14:11 0 JET6.tmp
07.03.2006 14:10 314 MPC7.tmp
07.03.2006 14:07 0 JET5.tmp
07.03.2006 14:02 0 JET4.tmp
07.03.2006 13:55 0 JET3.tmp
07.03.2006 13:49 0 WER6.tmp
07.03.2006 13:44 16.384 ~DF3C72.tmp
06.03.2006 21:12 16.384 ~DFF84.tmp
06.03.2006 21:12 16.384 ~DF1009.tmp
05.03.2006 22:49 16.384 ~DF9B0D.tmp
05.03.2006 22:49 16.384 ~DF9C75.tmp
05.03.2006 16:17 16.384 ~DF3276.tmp
05.03.2006 16:17 16.384 ~DFC47A.tmp
05.03.2006 15:09 0 ~A.tmp
04.03.2006 16:20 16.384 ~DFDD24.tmp
03.03.2006 23:33 16.384 ~DFD07D.tmp
02.03.2006 22:18 16.384 ~DFBDA7.tmp
02.03.2006 21:33 0 WER18.tmp
02.03.2006 21:19 0 fla14.tmp
01.03.2006 22:39 16.384 ~DFA575.tmp
28.02.2006 21:59 16.384 ~DFFB82.tmp
28.02.2006 21:59 16.384 ~DF5C41.tmp
27.02.2006 22:02 16.384 ~DF8EEC.tmp
27.02.2006 17:51 23.584 java_install.log
27.02.2006 17:46 884 jinstall.cfg
27.02.2006 17:45 91.305 tmp-1.xpi
26.02.2006 22:30 16.384 ~DF817B.tmp
26.02.2006 22:30 16.384 ~DFFD8F.tmp
25.02.2006 16:30 16.384 ~DFD9FC.tmp
25.02.2006 13:09 16.384 ~DF6E18.tmp
25.02.2006 09:49 0 JET2.tmp
24.02.2006 14:33 16.384 ~DF16A9.tmp
24.02.2006 14:33 0 WERE.tmp
24.02.2006 13:39 0 WER7.tmp
23.02.2006 22:36 16.384 ~DFFA5F.tmp
23.02.2006 22:36 16.384 ~DF757B.tmp
22.02.2006 22:18 16.384 ~DFA6C7.tmp
22.02.2006 22:18 16.384 ~DF7F7D.tmp
21.02.2006 21:42 16.384 ~DFDDDB.tmp
21.02.2006 21:15 0 WERB.tmp
21.02.2006 20:51 16.384 ~DF637B.tmp
21.02.2006 14:57 16.384 ~DF6445.tmp
20.02.2006 22:06 16.384 ~DFD2A4.tmp
20.02.2006 13:16 16.384 ~DF7ABE.tmp
20.02.2006 13:16 16.384 ~DF25A7.tmp
19.02.2006 16:26 16.384 ~DF6CA0.tmp
18.02.2006 20:57 16.384 ~DF9930.tmp
17.02.2006 22:35 16.384 ~DFD575.tmp
17.02.2006 22:35 16.384 ~DFFC7B.tmp
17.02.2006 22:35 0 WER2.tmp
17.02.2006 14:12 16.384 ~DFCEA9.tmp
17.02.2006 14:12 16.384 ~DFC8D9.tmp
17.02.2006 12:24 919.931 tmp.xpi
17.02.2006 08:26 0 WER5.tmp
16.02.2006 22:24 16.384 ~DFA8E0.tmp
16.02.2006 22:24 32.768 ~DFB237.tmp
16.02.2006 19:41 4.533 plf24.tmp
16.02.2006 18:46 0 ~51.tmp
23.01.2006 15:36 429 datFind.bat

Directory of D:\WINDOWS

30.03.2006 16:44 549 win.ini
30.03.2006 16:44 227 system.ini
30.03.2006 16:43 0 0.log
30.03.2006 16:43 159 wiadebug.log
30.03.2006 16:43 2.048 bootstat.dat
29.03.2006 22:54 50 wiaservc.log
28.03.2006 11:33 978.595 setupapi.log
15.03.2006 21:54 720.922 setuplog.txt
15.03.2006 21:39 13.745 svcpack.log
12.03.2006 13:20 9.646 Windows Update.log
08.03.2006 13:22 101.565 DirectX.log
05.03.2006 15:10 316.640 WMSysPr9.prx
01.03.2006 20:59 222 WINCMD.INI
01.03.2006 20:53 156 wcx_ftp.ini
27.02.2006 17:53 3.701 mozver.dat
20.02.2006 11:00 25 cdplayer.ini
20.02.2006 08:08 163.572 setupact.log
16.02.2006 22:13 2.454 SchedLgU.Txt
16.02.2006 19:51 234 wmsetup10.log
16.02.2006 19:51 40.117 wmsetup.log
16.02.2006 19:29 0 nsreg.dat
16.02.2006 19:29 107.132 UninstallFirefox.exe
16.02.2006 18:58 55.550 iis6.log
16.02.2006 18:58 1.374 imsins.log
16.02.2006 18:58 17.731 comsetup.log
16.02.2006 18:58 12.984 tsoc.log
16.02.2006 18:58 8.945 ntdtcsetup.log
16.02.2006 18:57 688 Q312370.log
16.02.2006 18:57 1.277 ocmsn.log
16.02.2006 18:57 15.297 ocgen.log
16.02.2006 18:57 17.719 FaxSetup.log
16.02.2006 18:57 1.128 msgsocm.log
16.02.2006 18:57 11.856 msmqinst.log
16.02.2006 18:47 821 DtcInstall.log
16.02.2006 18:44 824 OEWABLog.txt
16.02.2006 18:43 8.192 REGLOCS.OLD
16.02.2006 18:42 4.382 imsins.BAK
16.02.2006 18:41 0 control.ini
16.02.2006 18:41 299.552 WMSysPrx.prx
16.02.2006 18:41 4.161 ODBCINST.INI
16.02.2006 18:40 749 WindowsShell.Manifest
16.02.2006 18:39 1.059 sessmgr.setup.log
16.02.2006 18:38 36 vb.ini
16.02.2006 18:38 37 vbaddin.ini
16.02.2006 18:35 0 Sti_Trace.log

Directory of D:\

30.03.2006 16:54 0 sys.txt
30.03.2006 16:53 4.380 system.txt
30.03.2006 16:52 9.430 systemtemp.txt
30.03.2006 16:52 92.367 system32.txt
27.03.2006 21:14 9.406 Azureus_Stats.xml
15.02.2006 20:09 4.445.476 it222deu.exe
15.02.2006 20:09 4.279.320 mw9791deu.exe
15.02.2006 20:04 36.435.440 6-2_xp-2k_dd_ccc_wdm_enu_30152.exe
15.02.2006 20:00 18.113.281 WDM_A380.exe
15.02.2006 19:59 7.414.983 VIA_HyperionPro_v507a.zip
07.01.2006 13:08 106.055 vince, binca und anna.jpg
10.07.2005 15:29 787.822 ssp.JPG
10.07.2005 14:17 185.282 BerGaMont Kiez.JPG
06.07.2005 16:44 204.054 custom kiez ssp.JPG
14 File(s) 72.087.296 bytes
0 Dir(s) 11.932.893.184 bytes free

nun ja, aus gründen die du dir vlt denken kannst kann ich leider keine Service Packs installieren.

antivir hat außerdem gerade noch WORM/Nanspy.I gemeldet.

wie kann ich denn, angenommen der wurm/virus/trojaner ließe sich nicht entfernen, neu einrichten und sicherstellen dass sich der virus nirgends dort befindet wo ich nicht formatieren kann weil ich meine filme und musik ja nicht löschen will.

meine festplatten sehen so aus:
1.C(160GB): Filme und Serien, kleinkram
2.D(1. part 40gig): Windows, Musik, tools etc
2.E2.part 40gig): games (unwichtig), videos

wie schon gesagt kann ich einen ordner auf c: weder löschen, noch markiern o.Ä. ausserdem stürzt Luke Filewalker bei etwa 2% ab wenn ich auf C: suche.

#6 vincebo

1.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

D:\WINDOWS\system32\downloader.exe
D:\WINDOWS\system32\ntsdd.txt
D:\WINDOWS\system32\mmf32.exe
D:\WINDOWS\system32\setup_65083.exe
D:\WINDOWS\system32\i
D:\WINDOWS\system32\TFTP18460
D:\WINDOWS\system32\taskdir.dll
D:\WINDOWS\system32\zlbw.dll
D:\WINDOWS\system32\winsub.xml
D:\WINDOWS\system32\taskdir.exe
D:\WINDOWS\system32\parad.raw.exe
D:\WINDOWS\system32\svcp.csv
D:\WINDOWS\system32\xbccd.log
D:\WINDOWS\system32\TFTP210360
D:\WINDOWS\system32\bbot.exe.chech
D:\WINDOWS\system32\mmsvc32.exe

PC neustarten

3.
scanne mit Kaspersky und Panda und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Panda:

Incident Status Location

Spyware:Cookie/Falkag Not disinfected D:\Documents and Settings\v!nce\Application Data\Mozilla\Firefox\Profiles\z1inpk2l.default\cookies.txt[]
Spyware:Cookie/Advertising Not disinfected E:\Mozilla\Firefox\Profiles\default.odj\cookies.txt[]
Spyware:Cookie/Humanclick Not disinfected E:\Mozilla\Firefox\Profiles\default.odj\cookies.txt[70444867]
Spyware:Cookie/WinFixer Not disinfected E:\Mozilla\Firefox\Profiles\default.odj\cookies.txt[]
Spyware:Cookie/Server.iad.Liveperson Not disinfected E:\Mozilla\Firefox\Profiles\default.odj\cookies.txt[42086283]
Spyware:Cookie/Mp3search Not disinfected E:\Mozilla\Firefox\Profiles\default.odj\cookies.txt[]

Kaspersky:
no founds, no report

Antivir findet auch nix mehr, auch auf meinen geliebten ordner kann ich wieder zugreifen.

in der hoffnung dass sich der kram damit erledigt hat, an dieser stelle vielen herzlichen dank für deine schnelle und kompetente Hilfe.

#8 Hi,

das gleiche problem habe ich auch, ich mache die schritte jetzt auch alle und ich hoffe mir kann dann auch einer helfen. Ist doch hoffentlich ok das ich diesen thread weiterbenutze?

Also los gehts:

Zu 1) mein CleanUp wird vom Trojaner blockiert und stürtz immer ab

Zu2)

Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: 6067-33BB

Verzeichnis von C:\WINDOWS\system32

31.03.2006 17:06 4.608 taskdir.dll
29.03.2006 07:54 39.992 perfc009.dat
29.03.2006 07:54 48.156 perfc007.dat
29.03.2006 07:54 311.604 perfh009.dat
29.03.2006 07:54 316.594 perfh007.dat
29.03.2006 07:54 723.568 PerfStringBackup.INI
22.03.2006 23:54 952 KGyGaAvL.sys
22.03.2006 08:19 46.592 zlbw.dll
22.03.2006 08:19 4.608 TASKDIR.DLL.vir
22.03.2006 08:19 51.079 parad.raw.exe
22.03.2006 08:19 51.079 taskdir.exe
22.03.2006 08:19 4 winsub.xml
22.03.2006 08:19 61 svcp.csv
22.03.2006 08:19 7.095 voblaizdupla.exe
10.03.2006 02:10 4.799.320 MRT.exe
02.03.2006 22:54 8.628 XCP2TRB.GID
18.02.2006 14:01 2.139 lvcoinst.log
26.01.2006 21:38 57.344 avsda.dll
24.01.2006 20:34 118.784 sirenacm.dll
04.01.2006 05:35 68.096 webclnt.dll

Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: 6067-33BB

Verzeichnis von C:\DOKUME~1\DMX~1.DAR\LOKALE~1\Temp

14.07.2078 02:00 0 AVSEQ01.MPG
31.03.2006 17:39 0 1ECC56.dmp
31.03.2006 17:31 0 1778D9.dmp
31.03.2006 17:28 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}6873.html
31.03.2006 17:28 0 14CC38.dmp
31.03.2006 17:23 0 10B596.dmp
31.03.2006 17:16 90.224 jusched.log
31.03.2006 17:08 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}12517.html
31.03.2006 17:06 16.384 ~DFD2A7.tmp
31.03.2006 17:06 16.384 ~DFC587.tmp
31.03.2006 17:06 512 ~DFC593.tmp
31.03.2006 17:06 16.384 ~DFD797.tmp
31.03.2006 17:06 29.825 LVCOMSX.LOG
31.03.2006 16:44 27.777 TFR112.tmp
31.03.2006 16:44 77.679 TFR10D.tmp
31.03.2006 16:44 96.205 TFR10B.tmp
31.03.2006 16:44 101.277 TFR101.tmp
31.03.2006 16:44 43.590 TFRE2.tmp
31.03.2006 16:44 31.446 TFRDD.tmp
31.03.2006 16:44 70.357 TFRDA.tmp
31.03.2006 16:44 40.950 TFRCC.tmp
31.03.2006 15:47 16.384 ~DFF957.tmp
31.03.2006 15:47 16.384 ~DFE35D.tmp
31.03.2006 15:47 16.384 ~DF312F.tmp
31.03.2006 15:42 16.384 ~DFDE48.tmp
03.01.2006 00:17 16.384 ~DFAF0.tmp
03.01.2006 00:17 16.384 ~DF584E.tmp

Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: 6067-33BB

Verzeichnis von C:\WINDOWS

31.03.2006 17:06 0 0.log
31.03.2006 17:06 2.053.725 WindowsUpdate.log
31.03.2006 17:06 159 wiadebug.log
31.03.2006 17:06 50 wiaservc.log
31.03.2006 17:06 2.048 bootstat.dat
31.03.2006 17:05 32.506 SchedLgU.Txt
31.03.2006 15:47 243.134 setupact.log
30.03.2006 18:10 116 NeroDigital.ini
29.03.2006 17:16 135.915 wmsetup.log
27.03.2006 19:25 4.038 ModemLog_Software PCI modem card.txt
23.03.2006 19:24 628 win.ini
23.03.2006 19:08 95.944 setupapi.log
23.03.2006 18:12 22.528 Thumbs.db
07.03.2006 08:34 404 mp3wavsolutions.INI
07.03.2006 08:30 73.216 cadkasdeinst01.exe
02.03.2006 22:54 73 hdkctnts.ini
26.02.2006 21:52 151 PhotoSnapViewer.INI
18.02.2006 18:27 585 wincmd.ini
18.02.2006 18:18 255 wcx_ftp.ini
15.02.2006 19:55 29.938 spupdsvc.log
15.02.2006 19:02 28.696 ocmsn.log
15.02.2006 19:02 1.374 imsins.log
15.02.2006 19:02 249.183 tsoc.log
15.02.2006 19:02 98.420 iis6.log
15.02.2006 19:02 222.463 comsetup.log
15.02.2006 19:02 139.710 ntdtcsetup.log
15.02.2006 19:02 11.256 KB911927.log
15.02.2006 19:02 329.272 ocgen.log
15.02.2006 19:02 626.737 FaxSetup.log
15.02.2006 19:02 31.682 msgsocm.log
15.02.2006 19:02 28.136 updspapi.log
15.02.2006 19:02 1.374 imsins.BAK
15.02.2006 19:02 8.830 KB911564.log
15.02.2006 19:02 9.427 KB911565.log
15.02.2006 19:01 10.511 KB913446.log
15.02.2006 18:51 1.048.186 setupapi.log.1.old
23.01.2006 22:27 506 LUINSTALL.LOG
11.01.2006 09:38 10.106 KB908519.log
06.01.2006 18:51 11.081 KB912919.log
15.12.2005 22:48 11.963 KB910437.log
15.12.2005 22:48 17.874 KB905915.log

Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: 6067-33BB

Verzeichnis von C:\

31.03.2006 17:46 0 sys.txt
31.03.2006 17:45 11.871 system.txt
31.03.2006 17:44 148.578 systemtemp.txt
31.03.2006 17:43 109.305 system32.txt
31.03.2006 17:06 536.399.872 hiberfil.sys
31.03.2006 17:06 805.306.368 pagefile.sys
26.01.2006 21:37 6.557.909 avguard.Log
23.01.2006 22:43 125 write.log
23.01.2006 22:42 4.405 preupd.log
20.11.2005 15:19 183 LogiSetup.log
09.08.2005 03:21 0 BHO.log
09.08.2005 03:13 5.642 ResponseXML.log
09.08.2005 03:13 5.390 ResponseText.log
09.08.2005 03:13 426 Request.log
17.01.2005 20:18 211 boot.ini
17.01.2005 20:13 47.564 NTDETECT.COM
17.01.2005 20:13 251.184 ntldr
17.08.2003 17:48 0 IO.SYS
17.08.2003 17:48 0 CONFIG.SYS
17.08.2003 17:48 0 AUTOEXEC.BAT
17.08.2003 17:48 0 MSDOS.SYS
13.08.2003 09:56 1.604.057 Volks-PC-K&B-Monitor.pdf
02.04.2003 14:00 4.952 bootfont.bin
23 Datei(en) 1.350.458.042 Bytes
0 Verzeichnis(se), 61.452.677.120 Bytes frei

ogfile of HijackThis v1.99.1
Scan saved at 17:48:14, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\22M WLAN\WLANMON.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DMX~1.DAR\LOKALE~1\Temp\Rar$EX00.015\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMIndexStoreSvr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.urban.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bild.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AnyDVD] C:\Dokumente und Einstellungen\DMX.DARKMANX\Eigene Dateien\Downloads\AnyDVD\anydvd\AnyDVD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Komunikator] C:\Programme\Tlen.pl\tlen.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: 22M WLAN-Adapter-Utility.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk659YYDE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8E9A6E26-12C4-4270-8D55-924043BE15E7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8E9A6E26-12C4-4270-8D55-924043BE15E7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.bild.t-online.de
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/inflaterball/miniclipGameLoader.dll
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/ReflexiveWebGameLoader.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{906AB5E3-73F5-4C6B-B4A5-CECD6BCB7B39}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



soo, ich hoffe ich habe alles richtig gemacht. ich blicke da also nicht mehr durch. Man man ich hoffe wirklich mir kann einer helfen, bin schon sowas von verzweifelt. Danke schonmal in vorraus.

lg

Micha

#9 michael-dmx

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\taskdir.dll
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\TASKDIR.DLL.vir
C:\WINDOWS\system32\parad.raw.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\voblaizdupla.exe
C:\WINDOWS\WinMuschi.exe
C:\WINDOWS\system32\cadkasdeinst01.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m

O16 - DPF: RaptisoftGameO8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk659YYDE
Loader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/inflaterball/miniclipGameLoader.dll
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/ReflexiveWebGameLoader.cab

PC neustarten

Counterspy
http://virus-protect.org/counterspy.html
*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 so, habe alles gemacht hat bis jetzt alles prima funktioniert, aber 1 trojaner zeigt mir antivir immer noch an und das hier kam bei kaspersky raus.

Saturday, April 01, 2006 3:42:04 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 1/04/2006
Kaspersky Anti-Virus database records: 174221


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Scan Statistics
Total number of scanned objects 70009
Number of viruses found 1
Number of infected objects 3
Number of suspicious objects 0
Duration of the scan process 00:59:14

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Anwendungsdaten\Identities\{4524CF25-8374-4E6C-8654-4E13E534DD19}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Telekom ][Date Thu, 23 Mar 2006 16:30:54 -0500]/UNNAMED/T-COM-Rechnung.pdf.exe Infected: Trojan-Downloader.Win32.Small.coq skipped

C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Anwendungsdaten\Identities\{4524CF25-8374-4E6C-8654-4E13E534DD19}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Telekom ][Date Thu, 23 Mar 2006 16:30:54 -0500]/UNNAMED Infected: Trojan-Downloader.Win32.Small.coq skipped

C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Anwendungsdaten\Identities\{4524CF25-8374-4E6C-8654-4E13E534DD19}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Mail MS Outlook 5: infected - 2 skipped

#11 michael-dmx

proxy_lager
http://virus-protect.org/artikel/spyware/proxy_lager.html

welchen ? Bitte poste den Pfad (abkopieren aus dem Report)

Zitat

aber 1 trojaner zeigt mir antivir immer noch an

so kann man die Mails restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.

--------

Gehe in die Registry
Start- Ausfuehren - regedit

suche /loesche folgende Eintraege:

HKEY_CURRENT_USER

"ColorTable19"=zufällige Buchstabenkombination
"ColorTable20"=zufällige Buchstabenkombination

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

"taskdir"="%SYSDIR%\taskdir.exe"

----------------------------------------------------------------------------

poste dieses Log
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

es kann sein, dass noch ein Rootkit auf dem PC ist...wir muessen ihn finden...
__________
MfG Sabina

rund um die PC-Sicherheit

#12 hier der log vom RootkitRevealer:

HKLM\S-1-5-21-325393943-2019267188-1606864086-1007\Software\Arcor\Online\Traffic\DSL\setup_traffic_msec 01.04.2006 19:33 24 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Cookies\dmx@www.gratiscounter[1].txt 01.04.2006 19:23 96 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Cookies\dmx@www.gratiscounter[2].txt 01.04.2006 19:36 98 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Eigene Dateien\My Skype Pictures\ABC\15.:Zone.Identifier 20.01.2006 21:04 26 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALW761Q5\CAX06D9F.htm 01.04.2006 19:36 7.24 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALW761Q5\md[1].js 01.04.2006 19:36 8 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALW761Q5\n[1].gif 01.04.2006 19:23 156 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALW761Q5\n[2].gif 01.04.2006 19:36 156 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I3INYDEZ\CACTQL1Q.png 01.04.2006 19:23 99 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I3INYDEZ\source[2].js 01.04.2006 19:39 551 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O9GX6RGT\CAYNS1QB.htm 01.04.2006 19:36 5.42 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP070F0J\CAARGXQL.png 01.04.2006 19:36 99 bytes Hidden from Windows API.




soooo, mein antivir zeigt mir noch folgende trojaner an bzw. da sollen die sich befinden:

C:\System Volume Information\...\A0114174.dll

C:\System Volume Information\...\A0115328.dll

C:\System Volume Information\...\A0115373.dll

C:\System Volume Information\...\A0115415.dll

C:\System Volume Information\...\A0115417.dll

C:\System Volume Information\...\A0115418.dll

C:\System Volume Information\...\A0115419.dll

ich habe schon die schnautze voll, glaubst du mir das. soviel streß und soviel zeit schon wegen den Schei... trojanern verschwendet. Ich bin die aufjedenfall dankbar das du dir auch die zeit dafür nimmst und mir hier hilfst.

#13 1.
loesche mit der killbox:

C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALW761Q5
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O9GX6RGT
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP070F0J
C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I3INYDEZ

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

3.
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

4.
wenn das erledigt ist, poste das log vom Silentrunner, damit ich sehen kann, was in der registry los ist
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 und weiter gehts, hier das log vom Silentrunner

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"Arcor Online" = (empty string)
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]
"LDM" = "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" ["Logitech"]
"LogitechSoftwareUpdate" = "C:\Programme\Logitech\Video\ManifestEngine.exe boot" ["Logitech Inc."]
"Komunikator" = "C:\Programme\Tlen.pl\tlen.exe" [file not found]
"updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1" ["Adobe Systems Incorporated"]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"VOBID" = "C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount" ["VOB Computersysteme GmbH"]
"IW ControlCenter" = "C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" ["Pinnacle Systems, Inc."]
"PinnacleDriverCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe" [empty string]
"CHotkey" = "mHotkey.exe" ["Chicony"]
"ledpointer" = "CNYHKey.exe" ["Chicony"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"AnyDVD" = "C:\Dokumente und Einstellungen\DMX.DARKMANX\Eigene Dateien\Downloads\AnyDVD\anydvd\AnyDVD.exe" ["SlySoft, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"msnappau" = ""C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe"" [file not found]
"Arcor Online" = (empty string)
"NWEReboot" = (empty string)
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
"LogitechVideoRepair" = "C:\Programme\Logitech\Video\ISStart.exe " ["Logitech Inc."]
"LogitechVideoTray" = "C:\Programme\Logitech\Video\LogiTray.exe" ["Logitech Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]
"SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"]
"LXCGCATS" = "rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16" [MS]
"lxcgmon.exe" = ""C:\Programme\Lexmark 2300 Series\lxcgmon.exe"" ["Lexmark International, Inc."]
"EzPrint" = ""C:\Programme\Lexmark 2300 Series\ezprint.exe"" ["Lexmark International Inc."]
"FaxCenterServer" = ""C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CD Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92344-0A64-11D0-9956-0000E8096023}" = "InstantWrite Shellextension"
-> {HKLM...CLSID} = "InstantWrite Shellextension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\iwshex.dll" ["Pinnacle Systems, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{336b2080-7c49-11d5-9b1e-0060086cd99e}" = "C15-C11 Shell Extension"
-> {HKLM...CLSID} = "C15-C11 Shell Extension"
\InProcServer32\(Default) = "XCP2LMON.DLL" ["Xerox"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Eigene Logitech-Bilder"
-> {HKLM...CLSID} = "Eigene Logitech-Bilder"
\InProcServer32\(Default) = "C:\Programme\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{076394AD-7FDD-44EF-A075-32C68DBAB99B}" = "*b" (unwritable string)
-> {HKLM...CLSID} = "GIANT AntiSpyware Service Hook"
\InProcServer32\(Default) = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunExecuteHook.dll" ["Sunbelt Software"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\DMX.DARKMANX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "DMX" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"22M WLAN-Adapter-Utility" -> shortcut to: "C:\Programme\22M WLAN\WLANMON.exe" [empty string]
"Logitech Desktop Messenger" -> shortcut to: "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe /start" ["Logitech"]


Enabled Scheduled Tasks:
------------------------

"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{8E9A6E26-12C4-4270-8D55-924043BE15E7}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.bild.t-online.de

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
lxcg_device, lxcg_device, "C:\WINDOWS\system32\lxcgcoms.exe -service" [empty string]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SmartLinkService, SLService, "slserv.exe" [" "]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
2300 Series Port\Driver = "lxcglmpm.DLL" [empty string]
Lexmark Print-2-Fax Port\Driver = "LXPRMON.DLL" [null data]
Xerox DocuPrint C15-C11 Language Monitor\Driver = "XCP2LMON.DLL" ["Xerox"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 32 seconds, including 18 seconds for message boxes)

#15 nun, es muesste wieder alles in Ordnung sein... was denkst du ?
versuche noch mal den Cleanup anzuwenden .
__________
MfG Sabina

rund um die PC-Sicherheit