Tr\Swizzor.A. so eine verdammte sche...

#16 Danke schon mal soweit (1-2 ausgeführt). Hier Resultat des datfind:

Directory of C:\WINNT\system32

14.04.2006 15:17 41.128 vsconfig.xml
13.04.2006 21:10 2.206 wpa.dbl
31.03.2006 18:57 4.212 zllictbl.dat
28.03.2006 19:03 374.638 perfh009.dat
28.03.2006 19:03 50.928 perfc009.dat
28.03.2006 19:03 430.700 PerfStringBackup.INI
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll


16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
22.01.2006 18:45 16.832 amcompat.tlb
22.01.2006 18:45 23.392 nscompat.tlb
18.01.2006 14:05 57.344 avsda.dll
15.01.2006 12:44 283.720 FNTCACHE.DAT


Directory of C:\DOCUME~1\mchhh041\LOCALS~1\Temp

14.04.2006 15:26 70 CatUserRun.log
14.04.2006 15:26 8.045 ADPublishedShortcuts.log
14.04.2006 15:26 3.222 ADPublishedPolicies.log
14.04.2006 15:26 4 cleanup.ok
14.04.2006 15:26 151 ADPublishedSubst.log
14.04.2006 15:26 151 CatLogonNoDomain.log
14.04.2006 15:26 830 CatLocalLogonProlog.log

Directory of C:\WINNT

14.04.2006 15:17 0 0.log
14.04.2006 15:16 2.048 bootstat.dat
14.04.2006 15:15 32.570 SchedLgU.Txt
14.04.2006 12:21 242 hpbafd.ini
08.04.2006 20:02 3.732 ModemLog_Eicon Diva Mobile V.90 Modem.txt
08.04.2006 20:02 3.572 ModemLog_Eicon ISDN V.120 Modem (64K).txt
06.04.2006 18:18 40 HRDCPY32.INI
06.04.2006 17:46 449 wiadebug.log
05.04.2006 18:49 192 winamp.ini
04.04.2006 21:51 48 wiaservc.log
03.04.2006 21:14 54.156 QTFont.qfn
02.04.2006 00:22 2.098.553 setupapi.log
10.03.2006 17:45 44.544 AWuninstall.exe
17.02.2006 21:11 6.739 cdplayer.ini
30.01.2006 18:40 183.296 NDNuninstall7_22.exe
22.01.2006 19:06 52.921 wmsetup.log
22.01.2006 18:48 898 wmsetup10.log
22.01.2006 18:46 1.019 win.ini
22.01.2006 18:44 316.640 WMSysPr9.prx
14.01.2006 11:38 227 system.ini
06.01.2006 11:45 183.296 NDNuninstall7_14.exe




Directory of C:\

14.04.2006 15:52 0 sys.txt
14.04.2006 15:52 11.797 system.txt
14.04.2006 15:51 619 systemtemp.txt
14.04.2006 15:51 100.559 system32.txt
14.04.2006 15:43 536.395.776 hiberfil.sys
14.04.2006 15:43 805.306.368 pagefile.sys
14.04.2006 15:31 429 datFind.bat
05.03.2006 11:43 17.358 MPMSetup.log
05.03.2006 11:21 37.627 SDSSetup.log
14.01.2006 11:38 190 boot.ini


PleaseHelpMe
__________
PleaseHelpMe

#17 PleaseHelpMe

arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen / in deinem Fall sind:

C:\Documents and Settings\mchhh041\Application Data\JunkBin...
C:\Documents and Settings\mchhh041\Application Data\OPTION....
C:\Documents and Settings\All Users\Application Data\inside debug hope window

C:\WINNT\NDNuninstall7_22.exe
C:\WINNT\NDNuninstall7_14.exe
C:\Program Files\NewDotNet

wende CleanUp, Counterspy und panda-Online an und loesche alles, was gefunden wird..

-----------------------------------------------------------------------

wenn es fertig ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#18 @Sabina
könntest du dir das mal angucken bitte ^^ ?
http://board.protecus.de/t22875-lastpage.htm

#19 Hallo!
ich habe das gleiche problem mit dem Tr/Swizzor.A!
bitte bitte helft mir das ist echt sehr wichtiq..
und da kommt auch immer 'kasino online' und so und meine favouritenliste wurde auch ergänzt mit solchen sachen die ich nicht mehr entfernen kann!

Hier mal mein Logfile mit HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 16:08:27, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ESTsoft\ALZip\ALZip.exe
C:\Dokumente und Einstellungen\Marion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDMRSTIJ\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {5F6F0BF1-7A6F-5B3D-3361-DA02A754AFB1} - C:\DOKUME~1\Marion\ANWEND~1\BOOKEX~1\BiasMeta.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Marion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6DWZ69KX\ErrorSafeScannerInstall_de[1].exe" -nag /BEFOREINSTALL
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TTFMan] c:\programme\typograf\ttfman.exe
O4 - HKLM\..\Run: [plantypebiasface] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ball bat plan type\Knob nurb.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [bibfork] C:\DOKUME~1\Marion\ANWEND~1\GRAMBA~1\media mpeg mess.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50EB35C5-4922-419B-AC18-D04E0A028466}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

ich hoffe ihr könnt mir helfen .. bitteee!

danke schonmal im vorraus

MfG jenny

#20 Help wanteD

ich habe dir schon einen Loesungvorschlag im Trojaner-Board gemacht...arbeite dort alles ab.
(Warum alles doppelt schreiben ??? )
__________
MfG Sabina

rund um die PC-Sicherheit

#21 So, ich hab das jetzt alles so gemacht und das ist der Text der dann kam
Was nun?

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 74A0-08B6

Verzeichnis von C:\WINDOWS\tasks

07.04.2006 15:21 <DIR> .
07.04.2006 15:21 <DIR> ..
14.04.2006 17:00 282 A58DA13791965BA7.job
02.04.2003 13:00 65 desktop.ini
23.01.2005 10:35 124 Low Battery Alarm Program.job
14.04.2006 14:53 6 SA.DAT
4 Datei(en) 477 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Diana B”ttcher\Desktop

#22 @Sabina

Dies ist "mein" Text nach Löschaktion CLEANUP und COUNTERSPY....:

Volume in drive C is SYSTEM
Volume Seri*hier nicht!* Number is 14DE-23DC

Directory of C:\WINNT\tasks

31.03.2006 18:53 <DIR> .
31.03.2006 18:53 <DIR> ..
14.04.2006 17:00 276 AA19666F91971B7F.job
23.08.2001 15:00 65 desktop.ini
14.04.2006 16:59 6 SA.DAT
3 File(s) 347 bytes

Directory of C:\Documents and Settings\mchhh041\Desktop


PleaseHelpMe
__________
PleaseHelpMe

#23 hallo, gleiche problem wie alle hier.
bin mir nicht ganz sicher welche sachen ich löschen soll, wäre über hilfe sehr dankbar.

Logfile of HijackThis v1.99.1
Scan saved at 16:36:36, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos AntiSpyware 7\aspy7.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinAVIVideoConverter\WinAVI.exe
D:\Adobe Reader\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6A8CA112-9F56-640B-67CB-0C170359C7C8} - C:\DOKUME~1\Daniel\ANWEND~1\WAITBI~1\Bash Ante.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DownloadDrawThunkBike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Remote Download Draw\Option 01.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - HKCU\..\Run: [Platform Seek] C:\DOKUME~1\Daniel\ANWEND~1\THUNKL~1\window cool.exe
O4 - Startup: WISO Bewerbung-Reminder.lnk = C:\Programme\WISO\Bewerbung 4.0\KCReminder.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe Reader\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

gruss dani

#24 Hi ich würde mich freuen wenn ihr mir auch helfen könntet

Logfile of HijackThis v1.99.1
Scan saved at 19:31:42, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Razer\razertra.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Lemmy\LOKALE~1\Temp\Rar$EX00.766\HijackThis.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ostseite-crew.de/lemmy/upload_files/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B91D37AF-F557-0B60-D9C9-F827A9B6648B} - C:\DOKUME~1\Lemmy\ANWEND~1\SETUPO~1\Less Hope.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [license ooze] C:\DOKUME~1\Lemmy\ANWEND~1\FIRSTH~1\DEFAULTAMENBEEP.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E6FC98-5C69-426A-876D-FCA6940FF58E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

#25 Lemmy

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {B91D37AF-F557-0B60-D9C9-F827A9B6648B} - C:\DOKUME~1\Lemmy\ANWEND~1\SETUPO~1\Less Hope.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKCU\..\Run: [license ooze] C:\DOKUME~1\Lemmy\ANWEND~1\FIRSTH~1\DEFAULTAMENBEEP.exe

PC neustarten

arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen / in deinem Fall sind:

C:\Dokumente und Einstellungen\Lemmy\Anwendungsdaten\SETUPO... (ist nicht der komplette Name...)
C:\Dokumente und Einstellungen\Lemmy\Anwendungsdaten\FIRSTH....

wende CleanUp, Counterspy und panda-Online an und loesche alles, was gefunden wird..

-----------------------------------------------------------------------

wenn es fertig ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Honigbiene4

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A58DA13791965BA7.job
del A58DA13791965BA7.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit

#27 PleaseHelpMe

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AA19666F91971B7F.job
del AA19666F91971B7F.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

mit Panda solltest du unbedingt noch scannen !!
http://virus-protect.org/onlinescan.html

-------------------

wegen dem new.net gehe noch mal mit ewido uebers System....
http://virus-protect.org/ewido.html
(im Falle dass der Panda noch nicht alles gefunden und du es noch nicht manuell entfernt hast...)
__________
MfG Sabina

rund um die PC-Sicherheit

#28 @SABINA

SUPER! DANKE DIR FÜR DEINE TOLLE HILFE!!!




PleaseHelpMe
__________
PleaseHelpMe

#29 Und dann? War´s das jetzt? Ist jetzt alles weg,kann man das auf dem desktop alles wieder löschen?

#30 Honigbiene4

wenn du mit Panda (Online ) gescannt hast und mit Counterspy und nichts mehr angezeigt wird, ...ist der PC sauber.
Oder kommen noch PopUps ???

--------------------------------------------------------------------------

Lade den Firefox als Alternativbrowser zum IE .
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit