Hatte mir TR/Click.526 engefangen.

#1 Hallo Sabina,
danke schon mal im Vorraus für deine zugesagte Hilfe. Ich wollte nicht einfach einen neuen Thread machen, weil schon einer gepostet ist. Also hier schon mal die Logs von Hijackthis und Blacklight.

Logfile of HijackThis v1.99.1
Scan saved at 21:55:40, on 08.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Machai\Eigene Dateien\DLS\utorrent_1.5.exe
C:\Programme\Opera\Opera.exe
C:\Programme\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - Unknown owner - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Blacklight zeigt mir keinerlei unerwünschte Prozesse.

Ich wäre dir sehr dankbar wenn du mir sagen würdest(für mich "Virenlaien" verständlich) was dieser Virus bei mir überhaupt anstellen kann. Und evtl. wie ich mich davor schütze. Ich nutze zur Zeit Lavasoft Ad-Aware Pro und den AntiVir reicht das?

Okay das wars dann wohl erstmal, thnx

#2 SethSkeenz69

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi,
hier das System32 log!


Datentr„ger in Laufwerk C: ist Seth's Space
Volumeseriennummer: 00D0-CCA1

Verzeichnis von C:\WINDOWS\system32

09.04.2006 00:32 40.928 nvapps.xml
07.04.2006 00:58 1.374 wpa.dbl
06.04.2006 21:00 380.350 perfh009.dat
06.04.2006 21:00 52.764 perfc009.dat
06.04.2006 21:00 63.580 perfc007.dat
06.04.2006 21:00 391.000 perfh007.dat
06.04.2006 21:00 895.488 PerfStringBackup.INI
06.04.2006 00:04 51.216 cszgp.exe.ren
30.03.2006 16:41 128.504 FNTCACHE.DAT
16.03.2006 16:53 16.832 amcompat.tlb
16.03.2006 16:53 23.392 nscompat.tlb
16.03.2006 01:05 7.990 jupdate-1.4.2_11-b06.log
15.03.2006 19:48 7.006 jupdate-1.5.0_06-b05.log
10.03.2006 02:10 4.799.320 MRT.exe
08.02.2006 17:31 454.162 x264vfw.dll
01.02.2006 23:20 43.520 CmdLineExt03.dll
27.01.2006 15:36 6.144 ff_vfw.dll
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll

hier das aus der systemtemp:


Datentr„ger in Laufwerk C: ist Seth's Space
Volumeseriennummer: 00D0-CCA1

Verzeichnis von C:\DOKUME~1\Machai\LOKALE~1\Temp

05.11.2002 15:16 647 Skin.ini
1 Datei(en) 647 Bytes
0 Verzeichnis(se), 109.556.850.688 Bytes frei


und das von Windows:

Datentr„ger in Laufwerk C: ist Seth's Space
Volumeseriennummer: 00D0-CCA1

Verzeichnis von C:\WINDOWS

09.04.2006 00:32 0 0.log
09.04.2006 00:32 1.349.983 WindowsUpdate.log
09.04.2006 00:32 2.048 bootstat.dat
09.04.2006 00:31 32.526 SchedLgU.Txt
07.04.2006 22:04 438 LEXSTAT.INI
06.04.2006 23:36 26 Lic.xxx
06.04.2006 23:33 90.960 ntbtlog.txt
06.04.2006 23:21 185.223 setupact.log
06.04.2006 21:00 44.447 iis6.log
06.04.2006 21:00 107.983 comsetup.log
06.04.2006 21:00 66.214 ntdtcsetup.log
06.04.2006 21:00 123.262 tsoc.log
06.04.2006 21:00 4.507 imsins.log
06.04.2006 21:00 16.931 ocmsn.log
06.04.2006 21:00 168.695 ocgen.log
06.04.2006 21:00 15.634 msgsocm.log
06.04.2006 21:00 288.308 FaxSetup.log
06.04.2006 21:00 425.203 setupapi.log
06.04.2006 00:07 4.395 rdt.ini
04.04.2006 12:31 170.530 wmsetup.log
31.03.2006 19:55 216 wiadebug.log
31.03.2006 16:36 50 wiaservc.log
31.03.2006 13:04 832 Active Setup Log.txt
30.03.2006 10:50 0 Sti_Trace.log
29.03.2006 19:32 73.318 DirectX.log
27.03.2006 23:00 1.917 imsins.BAK
27.03.2006 23:00 0 setuperr.log
20.03.2006 21:58 248 accessdll.log
17.03.2006 11:51 2.737 spupdsvc.log
17.03.2006 10:04 16.836 KB911565.log
17.03.2006 03:13 1.454 COM+.log
16.03.2006 16:54 460 wmsetup10.log
16.03.2006 16:53 316.640 WMSysPr9.prx
08.03.2006 22:49 11.630 ModemLog_Smart Link 56K Voice Modem.txt
24.02.2006 15:34 227 system.ini
20.02.2006 16:28 7.992 KB911564.log
20.02.2006 16:27 6.603 KB913446.log
19.02.2006 18:12 11.078 KB911927.log
19.02.2006 18:12 14.676 updspapi.log
18.02.2006 12:04 309 nsw.log
14.02.2006 18:36 116 NeroDigital.ini
08.02.2006 21:06 23.508 KB896422.log
08.02.2006 21:05 24.659 KB893756.log
08.02.2006 21:05 21.777 KB873339.log
08.02.2006 21:05 23.375 KB887742.log
08.02.2006 21:05 22.185 KB887472.log
08.02.2006 21:04 26.386 KB905915.log
08.02.2006 21:04 25.714 KB902400.log
08.02.2006 21:04 18.752 KB900725.log
08.02.2006 21:03 15.721 KB894391.log
08.02.2006 21:03 13.731 KB908519.log
08.02.2006 21:03 16.330 KB890859.log
01.02.2006 18:47 14.854 KB899587.log
01.02.2006 18:47 14.249 KB899591.log
01.02.2006 18:46 8.564 KB910437.log
01.02.2006 18:46 13.938 KB912919.log

dann noch das von C:/

Datentr„ger in Laufwerk C: ist Seth's Space
Volumeseriennummer: 00D0-CCA1

Verzeichnis von C:\

09.04.2006 00:42 0 sys.txt
09.04.2006 00:40 7.732 system.txt
09.04.2006 00:39 290 systemtemp.txt
09.04.2006 00:37 99.359 system32.txt
09.04.2006 00:32 536.399.872 hiberfil.sys
09.04.2006 00:32 805.306.368 pagefile.sys
07.04.2006 00:21 6 AVPCallback.log
01.12.2005 01:41 5.836 CLDMA.LOG
31.05.2005 12:43 211 BOOT.BKK
31.05.2005 12:43 211 boot.ini
09.05.2005 14:23 0 MSDOS.SYS
09.05.2005 14:23 0 CONFIG.SYS
09.05.2005 14:23 0 IO.SYS
09.05.2005 14:23 0 AUTOEXEC.BAT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
17 Datei(en) 1.342.123.585 Bytes
0 Verzeichnis(se), 109.556.838.400 Bytes frei

oh man ihr seit so klasse, danke 1000 mal! Weiß garnicht was ich zu soviel Hilfsbereitschaft sagen soll. Muß mich wohl über den PayPal button bedanken wenn ich wieder Geld hab...Danke jedenfalls!

#4 SethSkeenz69

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
1.
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\system32\cszgp.exe.ren
C:\WINDOWS\rdt.ini

PC neustarten

2.
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

3.
Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi Sabina,

hier der Report von Fixwareout:

Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool


dann das Log vom Silentrunner:

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AWMON" = ""C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"" ["Lavasoft Sweden"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]
"KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS]
"CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found]
"PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FlashFXP Helper for Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\FlashFXP\IEFlash.dll" ["IniCom Networks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.2\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = "Microsoft AntiMalware ShellExecuteHook"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Machai\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Machai" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Pinnacle Scheduler" -> shortcut to: "C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe" ["Pinnacle Systems"]
"VIA RAID TOOL" -> shortcut to: "C:\Programme\VIA\RAID\raid_tool.exe" ["VIA Technologies"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -ScanType config -Privileges restricted" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
(unwritable string)

Missing lines (compared with English-language version):
[Version]: 2 lines
[RestoreHomePage]: 1 line
[RestoreHomePage.reg]: 1 line
[RestoreBrowserSettings.reg]: 12 lines
[DeleteTemplates.reg]: 5 lines
[DeleteAutosearch.reg]: 1 line
[Strings]: 1 line
[RestoreBrowserSettings]: 2 lines
[Strings]: 3 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"]
HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows Defender Service, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 41 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 13 seconds.
---------- (total run time: 87 seconds)

okay, mir kommt das ein wenig lang vor, wird wohl normal sein. Danke für die schnelle hilfe. Ich bin inzwischen so gern in diesem Board... :-)

#6 SethSkeenz69

mache bitte einen Onlinescan mit kaspersky und Bitdefender - ScanOnline neu und poste die Scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,

Also Kaspersky hat mir keine Logs erstellt, hab mit allen funktionen gescannt. Sagte ich hätte keine Malware an Bord.

Der Bitdefender konnte sich nicht zu server verbinden um ein Update zu machen. Also scannte ich ohne update. Sagte auch keine verdächtigen Dateien! Bin ich wieder sauber?

#8 es muesste wieder alles in Ordnung sein, wenn der Kaspersky nichts gefunden hat
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi Sabina,
ab heute bist du meine Antivirengöttin Bin so froh, das nichts schlimmeres mich heimgesucht hat... Danke für deine Hilfe! War schon ein komisches Gefühl(mein erster Virenbefall). Sag mal reicht denn der Avira AntivirGuard und Lavasofts AdAware Pro aus um mich zukünftig zu schützen?

#10 SethSkeenz69

Eingeschränktes Benutzerkonto
http://virus-protect.org/administrator.html

Windows Defender
http://virus-protect.org/ms.html


__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ein letztes Mal Hallo Sabina,
Also ich versuchte das mit dem eingeschränkten Benutzerkonto. Hat auch super funktioniert! Das Problem das ich jetzt habe ist folgendes: Ich hab mein Administratorkonto in ein eingeschränktes Umgewandelt, kann aber dann nicht mehr darauf zugreiffen weil das Sicherheitsprotokoll für diesen Benutzer voll ist, dieses Problem kann nur ein Admin beheben!? Kannst du mir sagen was ich falsch mache?

Mfg

Simon[/img]

#12 bevor man sein urspruengliches AdminKonto in ein eingeschranktes umwandelt, ist ein anderes Adminkonto zu erstellen, sonst hat man keine Rechte mehr.....

Zitat

Die Lösung ist die Umwandlung des bisher genutzten Administratorkontos in ein eingeschränktes Benutzerkonto, auch "Account" genannt - und zusätzlich die Einrichtung eines neuen Admin-Kontos, das für Spezialfälle vorbehalten bleibt.

Versuche folgendes: gehe in den abgesicherten Modus und versuche das jetzige eingeschrankte Konto wieder in ein Adminkonto umzuwandeln.
Dann berichte.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Sabina,
Das Adminkonto welches ich vorrübergehend in ein eingeschränktes Konto umgewandelt hatte, konnte ich im normalen Modus wieder in ein Adminkonto umwandeln, aber danke trotzdem. Ich hatte bevor ich dieses Konto umgewandelt hatte ein anderes Adminkonto eingerichtet. Aber da sah alles komplett anders aus(Desktop etc.) mit dem eingeschränkten hatte ich die im vorigen Post beschriebenen Probleme. Ich versuchs aber trotzdem gleich nochmal.

#14 Legen Sie eine angemessene Größe für das Sicherheitsprotokoll fest.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx?mfr=true

Mithilfe der Ereignisanzeige können Sie die in den Ereignisprotokollen aufgezeichneten Ereignisse überwachen. In der Regel speichert ein Computer das Anwendungsprotokoll, das Sicherheitsprotokoll und das Systemprotokoll. Je nach der Rolle des Computers und den installierten Anwendungen können auch andere Protokolle gespeichert werd
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx?mfr=true

> Start -> Ausführen -> eventvwr.msc

ich weiss leider nicht, wo/wie man diese Groesse festlegen kann. und auch nicht, wie/wo man es loeschen/leeren kann.
Da musst du mal "googeln"
__________
MfG Sabina

rund um die PC-Sicherheit