Popups/Falsche Verlinkungen bei Google im IE

#1 Hallo!
Ich habe seit längerem das Problem das wenn ich im IE surfe Popups geöffnet werden und das ich bei Google einträgen auf falsche URLs geleitet werde.

Ausserdem merke ich das bei einigen EBAY-Links die adresszeile kurz zu irgendeiner mediaplex.com url leitet und dann wieder zurück. Ist das Spyware oder ein Feature von Ebay?

Habe Adaware und S&D schon druchlaufen lassen (Habe das prob immer noch) hier mal mein HJT-LOG:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 14:07:54, on 10.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\SECURE\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\HPHipm11.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\SECURE\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SECURE\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CBAEA7A4-4CCE-4F05-A838-F94360EEF461} - C:\WINDOWS\System32\avifil33.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Microsoft Explorer(64)] explorer64.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\nssrtjdb.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\SECURE\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm (file missing)
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/adobe/MTSInstallers/MetaStream3.cab?url=http://www.metropolismag.com/html/content_0104/gen/gen_atm/gen_atm.html
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.e-levo.at/qp2.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Danke im vorraus
noxid

#2 noxid

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Log1:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D049-6CAC

Verzeichnis von C:\WINDOWS\system32

10.04.2006 12:29 30.502 tablet.dat
31.03.2006 16:42 13.646 wpa.dbl
26.03.2006 12:26 53.608 perfc009.dat
26.03.2006 12:26 383.254 perfh009.dat
26.03.2006 12:26 394.500 perfh007.dat
26.03.2006 12:26 64.598 perfc007.dat
26.03.2006 12:25 906.552 PerfStringBackup.INI
13.03.2006 15:15 3.069 jupdate-1.5.0_02-b09.log
05.03.2006 18:13 4.212 zllictbl.dat
06.01.2006 12:52 509.256 FNTCACHE.DAT
19.11.2005 18:52 4.321 qtplugin.log

LOG2:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D049-6CAC

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

10.04.2006 15:17 576 jusched.log
10.04.2006 15:17 4.760 HPH1462.tmp
2 Datei(en) 5.336 Bytes
0 Verzeichnis(se), 5.212.028.928 Bytes frei

LOG3:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D049-6CAC

Verzeichnis von C:\WINDOWS

10.04.2006 15:17 1.952.259 WindowsUpdate.log
10.04.2006 14:04 26 Lic.xxx
10.04.2006 12:29 159 wiadebug.log
10.04.2006 12:29 50 wiaservc.log
10.04.2006 12:29 0 0.log
10.04.2006 12:28 2.048 bootstat.dat
10.04.2006 12:27 32.546 SchedLgU.Txt
09.04.2006 14:25 54.156 QTFont.qfn
09.04.2006 14:25 1.065 winamp.ini
09.04.2006 14:15 5.864 ModemLog_Standard 56000 bps Modem.txt
07.04.2006 20:43 316 wincmd.ini
07.04.2006 20:41 357 wcx_ftp.ini
05.04.2006 13:08 105.137 svcpack.log
05.04.2006 12:56 186.745 setupact.log
05.04.2006 12:36 65.278 setupapi.log
30.03.2006 17:03 1.409 QTFont.for
19.03.2006 13:30 2.359.350 Firefox Wallpaper.bmp
13.03.2006 17:16 99.970 UninstallFirefox.exe
13.03.2006 17:16 11.925 mozver.dat
13.03.2006 15:13 30.172 ntdtcsetup.log
13.03.2006 15:13 18.398 iis6.log
13.03.2006 15:13 52.734 comsetup.log
13.03.2006 15:13 50.845 tsoc.log
13.03.2006 15:13 1.374 imsins.log
13.03.2006 15:13 7.215 KB842773.log
13.03.2006 15:13 4.881 ocmsn.log
13.03.2006 15:13 70.988 ocgen.log
13.03.2006 15:13 6.396 msgsocm.log
13.03.2006 15:13 122.828 FaxSetup.log
13.03.2006 15:13 1.374 imsins.BAK
13.03.2006 15:13 11.596 KB893803v2.log
13.03.2006 15:11 7.088 KB898461.log
05.03.2006 17:59 1.199.484 setupapi.log.0.old
05.03.2006 17:58 768 win.ini
05.03.2006 14:52 5.796 xpsp1hfm.log
19.01.2006 08:21 1.665 cdplayer.ini
26.12.2005 00:19 1.452 COM+.log
02.12.2005 22:25 178.601 Directx.log
30.11.2005 17:30 604 Thps3.INI
30.11.2005 17:03 82 SIERRA.INI
12.11.2005 15:57 525 my.ini
13.08.2005 19:44 21 messer.ini
06.08.2005 00:06 1.731 AndreaMosaic Setup Log.txt
06.08.2005 00:06 737.280 iun6002.exe
04.07.2005 18:57 109.802 Windows Update.log
10.06.2005 21:17 84 StyleBuilder.INI
03.06.2005 21:28 24.423 wmsetup.log
03.06.2005 21:28 316.640 WMSysPr9.prx
26.04.2005 18:38 299.552 WMSysPrx.prx
13.04.2005 14:59 335 nsreg.dat
13.04.2005 14:58 87.184 NSUninst.exe
13.04.2005 14:57 87.184 GREUninstall.exe
22.03.2005 18:14 81.920 bwUnin-6.1.4.61-8876480L.exe
14.03.2005 17:41 66.704 MEMORY.DMP
04.03.2005 15:10 106.496 bdoscandel.exe
01.03.2005 16:30 453 bdoscandellang.ini
19.01.2005 10:26 44.716 FRUCE___.TTF
17.01.2005 10:58 23.504 FRUCM___.TTF
05.01.2005 11:32 3.066 dasetup.log
04.01.2005 14:29 400 ODBC.INI
26.12.2004 21:26 5.666 KB828756.log
26.12.2004 21:25 11.793 KB830363.log
15.12.2004 09:13 42.323 php.ini

LOG4:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D049-6CAC

Verzeichnis von C:\

10.04.2006 15:23 0 sys.txt
10.04.2006 15:22 9.946 system.txt
10.04.2006 15:21 344 systemtemp.txt
10.04.2006 15:20 94.590 system32.txt
10.04.2006 14:04 2 AVPCallback.log
10.04.2006 12:28 805.306.368 pagefile.sys
02.04.2006 23:06 563 hpfr5550.xml
02.04.2006 23:06 259.357 hph7350.log
22.08.2005 19:42 2.428.928 s3j8.k
18.06.2005 01:11 14.456 pldecal.wad
10.06.2005 21:24 45 TEST.XML
30.04.2005 12:10 398.101 Untitled-1.pdf
31.01.2005 20:55 2.346 wasweisi.txt
05.01.2005 12:03 514.002.944 s2s8
11.12.2004 01:16 315 wunschzettel.txt

Danke für die rasche Hilfe
noxid

#4 noxid

0.
suche den Unterorder OOBE/HTML in C:\WINDOWS\System32 und poste, was du dort findest

1.
poste den scanreport
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

2.
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\System32\avifil33.dll
C:\WINDOWS\System32\nssrtjdb.exe
c:\WINDOWS\WinLoaderXP.exe -> Size: 275,456 bytes
c:\WINDOWS\system32\explorer64.exe -> Size: 11,264 bytes

------------

http://www.sophos.com/virusinfo/analyses/trojmasota.html
http://www.sophos.de/virusinfo/analyses/trojmasotb.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 RootkitRevealer läuft grad durch..

Zitat

Virus Total
_______________________________________________

Scan results
File: avifil33.dll
Date: 04/10/2006 15:38:11 (CET)
----
AntiVir 6.34.0.24/20060410 found [TR/Dldr.Agent.UN]
Avast 4.6.695.0/20060403 found [Win32:Trojan-gen. {Other}]
AVG 386/20060409 found [Downloader.Agent.13.AB]
Avira 6.34.0.56/20060410 found [TR/Dldr.Agent.UN]
BitDefender 7.2/20060410 found [Trojan.Downloader.Agent.UN]
CAT-QuickHeal 8.00/20060406 found nothing
ClamAV devel-20060202/20060410 found [Trojan.Downloader.Agent-171]
DrWeb 4.33/20060410 found [Trojan.DownLoader.7386]
eTrust-InoculateIT 23.71.125/20060409 found nothing
eTrust-Vet 12.4.2156/20060410 found nothing
Ewido 3.5/20060410 found [Downloader.Agent.un]
Fortinet 2.71.0.0/20060410 found [W32/Agent.UN-tr]
F-Prot 3.16c/20060407 found [security risk named W32/Downloader.SVR]
Ikarus 0.2.59.0/20060410 found [Trojan-Downloader.Win32.Agent.UN]
Kaspersky 4.0.2.24/20060410 found [Trojan-Downloader.Win32.Agent.un]
McAfee 4736/20060407 found [Generic Downloader.h]
NOD32v2 1.1480/20060410 found nothing
Norman 5.90.15/20060407 found [W32/Agent.ITH]
Panda 9.0.0.4/20060410 found [Trj/Downloader.DYX]
Sophos 4.04.0/20060410 found [Troj/Agent-ES]
Symantec 8.0/20060410 found [Trojan Horse]
TheHacker 5.9.7.127/20060410 found [Trojan/Downloader.Agent.un]
UNA 1.83/20060407 found [TrojanDownloader.Win32.Agent]
VBA32 3.10.5/20060410 found [suspected of Trojan-Downloader.Agent.49]

C:\WINDOWS\System32\nssrtjdb.exe find ich nicht...
c:\WINDOWS\WinLoaderXP.exe auch nicht...
c:\WINDOWS\system32\explorer64.exe auch nicht..

Keine Ahnung - Diese Dateien find ich einfach nicht in den Angegebenen Ordnern

LG Julian

#6 1.
suche den Unterorder OOBE/HTML in C:\WINDOWS\System32 und poste, was du dort findest

2.
poste den scanreport
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 1. in C:\WINDOWS\system32\oobe\html find ich noch folgende Ordner:
dslmain
iconnect
ispsgnup
isptype
mouse
oemcust
oemhw
oemreg
sconnect

2. Den Report reich ich nach ich muss jetz mal für 2 Stunden weg und lasse RootkitRevealer weiterlaufen.. is nämlich noch immer ned fertig

edit:
Hier der RootkitRevealer Report:

Zitat

HKLM\S-1-5-21-515967899-884357618-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:\Qbxhzragr haq Rvafgryyhatra\Orfvgmre\Rvtrar Qngrvra\rQbaxrl2000 Qbjaybnqf\Znkba_Pva 10.04.2006 15:28 16 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQLite\Bartcache\261672579\Temp\ICQTempFile02330.tmp 10.04.2006 16:08 4.62 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQLite\Bartcache\261672579\Temp\ICQTempFile03646.tmp 10.04.2006 16:08 3.61 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQLite\Bartcache\261672579\Temp\ICQTempFile17179.tmp 10.04.2006 16:09 4.62 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\0AFB3A93d01 10.04.2006 15:34 49.92 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\0F9D12B7d01 10.04.2006 15:38 20.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\1459BEA6d01 10.04.2006 15:40 32.30 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\2346D176d01 10.04.2006 15:40 40.52 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\27574034d01 10.04.2006 15:35 24.93 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\46CE615Ed01 10.04.2006 15:40 30.67 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\52C1B331d01 10.04.2006 15:41 27.54 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\57D6246Fd01 10.04.2006 15:37 34.56 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\585027B8d01 10.04.2006 15:38 56.12 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\5E53BC6Cd01 10.04.2006 15:41 71.69 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\70F466B1d01 10.04.2006 15:40 27.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\77850816d01 10.04.2006 15:34 16.19 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\88922C67d01 10.04.2006 15:40 30.36 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\A561C1D3d01 10.04.2006 16:20 59.61 KB Visible in directory index, but not Windows API or MFT.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\A7402BD4d01 10.04.2006 15:40 21.05 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\BE869B1Fd01 10.04.2006 15:34 10.31 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\C0F6A41Ad01 10.04.2006 15:40 71.83 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\E9CC8E0Dd01 10.04.2006 15:50 40.88 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\F7880F9Ed01 10.04.2006 15:37 34.56 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atwola[1].txt 10.04.2006 16:09 98 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@icq[1].txt 10.04.2006 16:09 301 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@nana.co[1].txt 10.04.2006 16:09 73 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web 10.04.2006 16:07 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web\TargetPreview.tmp 10.04.2006 16:06 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web\TargetPreview.tmp\TargetPreview.gif 10.04.2006 16:06 3.34 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web\TargetPreview.tmp\TargetPreview.html 10.04.2006 16:06 1.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web\TargetPreview_001.tmp 10.04.2006 16:07 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web\TargetPreview_001.tmp\TargetPreview.gif 10.04.2006 16:07 6.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web\TargetPreview_001.tmp\TargetPreview.html 10.04.2006 16:07 1.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}21358.html 10.04.2006 16:16 978 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}1005.html 10.04.2006 16:09 983 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\TWAIN.LOG 10.04.2006 15:52 693 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Twain001.Mtx 10.04.2006 15:52 2 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Twunk001.MTX 10.04.2006 15:52 156 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Twunk002.MTX 10.04.2006 15:52 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF2B2A.tmp 10.04.2006 16:08 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFAB24.tmp 10.04.2006 16:08 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFAB42.tmp 10.04.2006 16:08 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF44D.tmp 10.04.2006 16:08 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF4AA.tmp 10.04.2006 16:08 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF4D8.tmp 10.04.2006 16:08 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF5A9.tmp 10.04.2006 16:08 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF5B7.tmp 10.04.2006 16:08 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF6A6.tmp 10.04.2006 16:08 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF6B6.tmp 10.04.2006 16:08 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFF777.tmp 10.04.2006 16:08 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0D2V4D2B\aol[1].swf 10.04.2006 16:16 7.85 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\29MNUVKF\but_next[1].gif 10.04.2006 16:09 604 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\29MNUVKF\but_prev[1].gif 10.04.2006 16:09 598 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\29MNUVKF\d5-2-3[1].gif 10.04.2006 16:09 286 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\29MNUVKF\index[1].htm 10.04.2006 16:09 31.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2BKRLYJM\google_ads[1].htm 10.04.2006 16:09 1.56 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2BKRLYJM\index2[1].js 10.04.2006 16:09 18.02 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2BKRLYJM\poker_prev_new[1].gif 10.04.2006 16:09 1.72 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45M7CXMZ\d5_pixel[1].gif 10.04.2006 16:09 44 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45M7CXMZ\preloader[1].swf 10.04.2006 16:09 2.86 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HUFS1UR\current_time[1].js 10.04.2006 16:09 29 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HUFS1UR\myphoto_prev_new[1].gif 10.04.2006 16:09 1.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HUFS1UR\oddcast_prev_new[1].gif 10.04.2006 16:09 797 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HUFS1UR\preloader[1].js 10.04.2006 16:09 2.42 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7HR1BU4E\0041[1].gif 10.04.2006 16:09 897 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7NLNF9SW\chat2[1].gif 10.04.2006 16:09 2.82 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7NLNF9SW\multichat_prev_new[1].gif 10.04.2006 16:09 1.89 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7NLNF9SW\tab_greetings[1].gif 10.04.2006 16:09 460 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5M3O96N\adsEnd[1].js 10.04.2006 16:09 1.57 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5M3O96N\banner[1].htm 10.04.2006 16:09 570 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5M3O96N\cl[1].css 10.04.2006 16:09 1001 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5M3O96N\consts[1].js 10.04.2006 16:09 4.51 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GX6NS5YV\features[1].gif 10.04.2006 16:09 2.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GX6NS5YV\geo[1].htm 10.04.2006 16:09 231 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GX6NS5YV\google_ad[1].js 10.04.2006 16:09 3.48 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GX6NS5YV\music[1].gif 10.04.2006 16:09 1.61 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HC0NPDWP\contactList[1].htc 10.04.2006 16:09 4.79 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HC0NPDWP\lsp_link[1].htm 10.04.2006 16:09 3.39 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HC0NPDWP\s_code_remote2[1].js 10.04.2006 16:09 19.71 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHJSD83A\aol[1].swf 10.04.2006 16:09 10.36 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHJSD83A\datafiles[1].cb 10.04.2006 16:08 1.91 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHJSD83A\index2[1].css 10.04.2006 16:09 8.11 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHJSD83A\tab_games[1].gif 10.04.2006 16:09 403 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHJSD83A\utils[1].js 10.04.2006 16:09 15.42 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITR0HKZI\aol[1].swf 10.04.2006 16:09 10.46 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITR0HKZI\pool_50x50[1].gif 10.04.2006 16:09 2.42 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2XZO83L\5spot_prev_new[1].gif 10.04.2006 16:09 1.14 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2XZO83L\banners[1].cb 10.04.2006 16:08 8.46 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2XZO83L\get_billable_countries[1].xml 10.04.2006 16:09 551 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2XZO83L\kelly_clarkson[1].jpg 10.04.2006 16:09 7.79 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2XZO83L\PluginsList[1].xml 10.04.2006 16:08 74.46 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2XZO83L\skateboarding[1].jpg 10.04.2006 16:09 17.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ORNZ2CLH\card_16962_st[1].gif 10.04.2006 16:09 1.68 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ORNZ2CLH\card_18981_st[1].gif 10.04.2006 16:09 1.77 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ORNZ2CLH\island[1].gif 10.04.2006 16:09 204 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ORNZ2CLH\tab_find[1].gif 10.04.2006 16:09 513 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QBY76TEF\0027[1].gif 10.04.2006 16:09 2.04 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QBY76TEF\0078[1].gif 10.04.2006 16:09 2.55 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\STUN0XEF\Checkers50x50[1].gif 10.04.2006 16:09 1.13 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\STUN0XEF\query_lib[1].js 10.04.2006 16:09 1016 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\STUN0XEF\tab_tools[1].gif 10.04.2006 16:09 381 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TR7H3X7G\community[1].gif 10.04.2006 16:09 2.18 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TR7H3X7G\google_ver2[1].gif 10.04.2006 16:09 1.23 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TR7H3X7G\search_ver2[1].gif 10.04.2006 16:09 510 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UD8FMBU1\Find_travel_mate[1].gif 10.04.2006 16:09 1.16 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UDJ81032\adsWrapper[1].js 10.04.2006 16:09 6.04 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UDJ81032\but_pause[1].gif 10.04.2006 16:09 598 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UDJ81032\index[1].htm 10.04.2006 16:08 10.24 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UDJ81032\people_search[1].jpg 10.04.2006 16:09 5.54 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPAJCLEV\aol[1].swf 10.04.2006 16:09 8.17 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPAJCLEV\bg_day[1].gif 10.04.2006 16:09 25.72 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPAJCLEV\e[1].gif 10.04.2006 16:09 43 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPAJCLEV\query_lib[1].js 10.04.2006 16:09 1016 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\final.lnk 10.04.2006 16:06 575 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\mouse.lnk 10.04.2006 16:16 689 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\mouse_a.lnk 10.04.2006 16:15 869 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\mouse_c.lnk 10.04.2006 16:15 869 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\mouse_e.lnk 10.04.2006 16:15 869 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\mouse_g.lnk 10.04.2006 16:16 869 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\sconnect (2).lnk 10.04.2006 16:16 708 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\sconnect.lnk 10.04.2006 16:16 901 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\öbb_dl.lnk 10.04.2006 16:06 459 bytes Hidden from Windows API.
C:\System Volume Information\_restore{9858CC61-DCF4-4CC4-B65B-F2F5F6501620}\RP576\A0273967.irs 04.02.2006 15:46 17.45 KB Hidden from Windows API.
C:\System Volume Information\_restore{9858CC61-DCF4-4CC4-B65B-F2F5F6501620}\RP576\A0273968.ini 07.04.2006 20:43 316 bytes Hidden from Windows API.
C:\System Volume Information\_restore{9858CC61-DCF4-4CC4-B65B-F2F5F6501620}\RP576\A0273969.ini 07.04.2006 20:41 357 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf 10.04.2006 16:06 60.84 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\PHOTOSHOP.EXE-2E1C999E.pf 10.04.2006 15:52 53.39 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\RUNDLL32.EXE-2AE6C217.pf 10.04.2006 15:52 11.23 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\TOTALCMD.EXE-08C82D3C.pf 10.04.2006 16:08 37.54 KB Hidden from Windows API.

#8 falls du in dem Ordner findest: htmC:\WINDOWS\system32\oobe\html

Zitat

s.css404.htm
Capture_Settings.
Delay.htm
file_manager.htm
Files.htm
Header.htm
Index.htm
Index1.htm
Internal_Error.htm
NotReady.htm
Process_Manager.htm
Screen_Resolution_Manager.htm
Top.htm
Window_Manager.htm

LOESCHEN !!

-------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\System32\explorer64.exe
C:\WINDOWS\System32\nssrtjdb.exe
C:\WINDOWS\System32\avifil33.dll

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {CBAEA7A4-4CCE-4F05-A838-F94360EEF461} - C:\WINDOWS\System32\avifil33.dll
O4 - HKLM\..\Run: [Microsoft Explorer(64)] explorer64.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\nssrtjdb.exe

PC neustarten

Cleanup
http://virus-protect.org/cleanup.html

boote in den abgesicherten Modus ...und loesche solange die temp-Dateien, bis im Revealer nichts mehr davon zu sehen ist.....

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Save For Web
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0D2V4D2B\aol[1].swf 10.04.2006 16:16 7.85 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\29MNUVKF\but_next[1].gif 10.04.2006 16:09 604 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\29MNUVKF\but_prev[1].gif

usw..usw...

wenn das erledigt ist, mache einen Onlinescan mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

---------
was hier los ist, weiss ich noch nicht...muss ich erst rausfinden...

HKLM\S-1-5-21-515967899-884357618-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:\Qbxhzragr haq Rvafgryyhatra\Orfvgmre\Rvtrar Qngrvra\rQbaxrl2000 Qbjaybnqf\Znkba_Pva

Zitat

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer \UserAssist

der erste CLSID als Kategorie ist {5E6AB780-7743-11CF-A12B-00AA004AE837}, die Microsoft Internet Toolbar.

der zweite CLSID ist {75048700-EF1F-11D0-9888-006097DEACF9}, Active Desktop.

Diese Einträge enthalten 'Count' Daten, die durch die Bedienung der Oberfläche entstehen.

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Den Kaspersky-Scan-Report findest du jetzt unter http://www.noxid.de/report.html

Danke für deine Hlfe!
LG noxid

#10 1.
loesche: C:\Dokumente und Einstellungen\Besitzer\Desktop\jsf.exe

2.
und leere die Quarantaene vom Norton

3.
Firefox:
http://virus-protect.org/temp.html

C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ecscxw9w.default\Cache\ --> leeren

*Klicken Sie in der Browserleiste auf "Beabeiten"
*In dem Pull-Down Menü ganz unten auf "Einstellungen" klicken.
*Im Fenster 'Einstellungen' in der linken Options-Liste ebenfalls unten links von "Erweitert" auf das graue Dreieck (früher +) klicken
*Im Untermenü die Option "Cache" wählen, daraufhin wechselt das rechte Fenster.
*Dort sehen Sie jetzt zwei Buttons 'Speicher-Cache löschen' und 'Festplatten-Cache löschen'. Klicken Sie auf beide Buttons. Es kann einige Sekunden dauern, was von der Menge der gespeicherten Daten abhängt.
*Schliessen Sie alle Fenster. Sie haben das Löschen Ihres Caches beendet

4.
poste den neuen Report vom
RootkitRevealer
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hier der neue Revealer-Report

Zitat

HKLM\S-1-5-21-515967899-884357618-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:\Qbxhzragr haq Rvafgryyhatra\Orfvgmre\Rvtrar Qngrvra\rQbaxrl2000 Qbjaybnqf\Znkba_Pva 11.04.2006 21:08 16 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 11.04.2006 21:08 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\DirectPlayNATHelp\DPNHUPnP\ActiveFirewallMappings\msmsgs 12242 UDP 11.04.2006 21:07 20 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\DirectPlayNATHelp\DPNHUPnP\ActiveFirewallMappings\msmsgs 14998 TCP 11.04.2006 21:07 20 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\loading1.lnk 11.04.2006 21:59 609 bytes Visible in directory index, but not Windows API or MFT.
C:\Dokumente und Einstellungen\Besitzer\Recent\moo.fx.lnk 11.04.2006 21:35 610 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\Suckerfish_HoverLightbox.lnk 11.04.2006 21:48 678 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\suckerfish_lightbox.lnk 11.04.2006 21:48 541 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Besitzer\Recent\yes.lnk 11.04.2006 21:59 470 bytes Visible in directory index, but not Windows API or MFT.
C:\Neuer Ordner 11.04.2006 21:48 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{9858CC61-DCF4-4CC4-B65B-F2F5F6501620}\RP1\A0000145.lnk 11.04.2006 14:51 530 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\AUPDATE.EXE-089630E1.pf 11.04.2006 21:52 9.53 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\NDETECT.EXE-38C3701D.pf 11.04.2006 21:52 19.32 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\WINZIP32.EXE-335422C1.pf 11.04.2006 21:48 22.63 KB Hidden from Windows API.

#12 die zwei kann ich nicht zuordnen...vielleicht weisst du, was da geladen wurde....

C:\Dokumente und Einstellungen\Besitzer\Recent\loading1.lnk
C:\Dokumente und Einstellungen\Besitzer\Recent\moo.fx.lnk

ansonsten, gibt es noch PopUps und Seiten-Umleitungen ?

counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

--------------------------------------------------------------------------

adswrapper[1].js -> whenu.savenow Spyware/Adware
query_lib[1].js -> Enthält Signatur des Wurmes Worm/Gedza.3
s_code_remote2[1].js -> Enthält Signatur des Wurmes Worm/gedza.3
__________
MfG Sabina

rund um die PC-Sicherheit

#13 > C:\Dokumente und Einstellungen\Besitzer\Recent\loading1.lnk
> C:\Dokumente und Einstellungen\Besitzer\Recent\moo.fx.lnk

ja die kenn ich das is 100% clean

> ansonsten, gibt es noch PopUps und Seiten-Umleitungen ?

im moment schauts clean aus werde das aber noch über längere zeit prüfen da die popups recht unsystematisch aufgetreten sind.

counterspy scannt grad durch

Danke schonmal sehr herzlich!
LG Julian

#14 poste den scanreport vom Counterspy
__________
MfG Sabina

rund um die PC-Sicherheit