Home » Viren, Trojaner & Malware Forum » Prorat-d trojaner entfernen » Themenansicht

Prorat-d trojaner entfernen
#0
14.04.2006, 16:25
weinfurtnert
Member

Beiträge: 35
#1 hallo, hier ist mein logfile habe den prorat-d trojaner drauf und bring ihn nicht mehr los

Logfile of HijackThis v1.99.1
Scan saved at 15:48:34, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wwSecure.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\progra~1\yahoo!\YCentral\YahooCentral.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
c:\programme\freenet\freenet sms\SMSClient.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Virenprogramme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=229083
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe
O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SMS-Client] c:\programme\freenet\freenet sms\SMSStarter.exe -minimized
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: AVSKEYX - http://www.avskey.de/view/avskey/gate/ocx/AVSKeyX.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/nd/nd01310.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2318adbeb1a95f5ac915/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141585845843
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WinHosts - Unknown owner - C:\WINDOWS\system32\WinHosts.exe (file missing)
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
Seitenanfang Seitenende
14.04.2006, 16:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 weinfurtnert

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe

PC neustarten

1,
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WinHosts

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 17:51
weinfurtnert
Member

Themenstarter

Beiträge: 35
#3 hi. ich kann deine links nicht öffnen die du gepostet hast, es kommt nur ein lila bildschirm

auch wenn ich http://virus-protect.org/ eingebe erscheint keine homepage

was soll ich machen
Seitenanfang Seitenende
14.04.2006, 17:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 weinfurtnert

Das ist kein Prorat....
http://virus-protect.org/virus/ffservice.html

-----------------------------------------------------------------

Lade avenger.zip --> http://swandog46.geekstogo.com/avenger.zip --> entpacken , installieren

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\lfpcy70n.dll
C:\WINDOWS\system32\ffservice.exe
C:\WINDOWS\System32\lservice.exe
C:\WINDOWS\System32\wservice.exe
klicke auf die gruene Ampel

das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe

PC neustarten

Zitat

datFind.zip --> entzippe datFind.zip --> datFind.bat
http://virus-protect.org/zip/datFind.zip
poste die 4 Logs, die entstehen, wenn du das Tool anwendest.

Suche auf dem Desktop (oder in der Datei, die nach dem Entzippen entanden ist) die datFind.bat

- doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ab ( Verzeichnis von C:\WINDOWS\system32) ca.3 Monate und in deinen Thread im Sicherheitsforum. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

* das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate ab (ist nach Datum geordnet) und kopiere es in deinen Thread. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

2.Log --> Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

* das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate ab (ist nach Datum geordnet) und kopiere es in deinen Thread. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

3.Log --> Verzeichnis von C:\WINDOWS

* das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate ab (ist nach Datum geordnet) und kopiere es in deinen Thread. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

4.Log--> Verzeichnis von C:\

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 18:58
weinfurtnert
Member

Themenstarter

Beiträge: 35
#5 hi. dachte es wäre ein prorat-d weil spysweeper mir anzeigte das der trojaner backdoor prorat-d gefunden wurde.

hier sind die logs

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS\system32

14.04.2006 18:52 45.056 CompiledAdapter
12.04.2006 15:13 97 d_service.exe
09.04.2006 15:35 1.158 wpa.dbl
29.03.2006 15:18 8.224 GDIPFONTCACHEV1.DAT
29.03.2006 15:16 524.112 FNTCACHE.DAT
26.03.2006 23:37 69.900 perfc009.dat
26.03.2006 23:37 81.172 perfc007.dat
26.03.2006 23:37 432.624 perfh007.dat
26.03.2006 23:37 420.836 perfh009.dat
26.03.2006 23:37 1.016.924 PerfStringBackup.INI
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
26.01.2006 10:48 15.360 BASSMOD.dll
25.01.2006 12:09 492.544 WRLogonNtf.dll
25.01.2006 12:09 8.192 ssiefr.EXE
25.01.2006 12:09 17.920 wrlzma.dll
25.01.2006 03:35 200.704 libssl32.dll
19.01.2006 17:10 7.006 jupdate-1.5.0_06-b05.log
18.01.2006 17:09 3.243 jupdate-1.4.2_06-b03.log
14.01.2006 08:54 23.392 nscompat.tlb
14.01.2006 08:54 16.832 amcompat.tlb
08.12.2005 14:56 65.536 QuickTimeVR.qtx
08.12.2005 14:56 49.152 QuickTime.qts
20.11.2005 17:12 552 d3d8caps.dat
10.11.2005 14:03 49.265 jpicpl32.cpl
10.11.2005 12:27 49.250 javaw.exe
10.11.2005 12:27 49.248 java.exe
03.11.2005 12:50 200.704 ssleay32.dll
03.11.2005 12:50 1.064.960 libeay32.dll
03.11.2005 10:43 0 asfiles.txt
03.11.2005 10:40 2.550 Uninstall.ico
03.11.2005 10:40 1.406 Help.ico
03.11.2005 10:40 1.718 Open.ico
03.11.2005 10:40 1.406 AddQuit.ico
03.11.2005 10:40 5.350 IE.ico
03.11.2005 10:40 9.470 Desktop.ico
03.11.2005 10:40 1.718 Quick.ico
01.11.2005 14:19 7.314.334 WinTemp20584.exe
01.11.2005 14:19 105 MSRunningDLL.exe.bat
01.11.2005 14:19 51.733 plugin1.dat



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

14.04.2006 18:52 81.920 ~DFF55C.tmp
14.04.2006 18:52 16.384 Perflib_Perfdata_8d8.dat
14.04.2006 18:52 408 WCESCOMM.LOG
14.04.2006 18:48 81.920 ~DFE791.tmp
14.04.2006 18:32 917.504 MFPL7014.DLL
14.04.2006 18:24 53.768 epurcdever15.dll.zip
14.04.2006 18:24 0 EPSLog.txt
14.04.2006 17:22 136 EPS_PicLookup.dat
14.04.2006 17:19 36.854 WcesView.log
14.04.2006 17:16 39.985 epurcdever11.dll.zip

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS

14.04.2006 18:52 0 0.log
14.04.2006 18:52 435.504 WindowsUpdate.log
14.04.2006 18:51 159 wiadebug.log
14.04.2006 18:51 50 wiaservc.log
14.04.2006 18:51 2.048 bootstat.dat
14.04.2006 18:50 32.548 SchedLgU.Txt
14.04.2006 16:19 539.331 setupapi.log
14.04.2006 14:53 177.354 ntbtlog.txt
14.04.2006 14:41 1.046.917 ktd32.atm -> Troj/Prorat-E http://www.avira.com/de/threats/section/fulldetails/id_vir/1840/bds_prorat.rc.html
12.04.2006 19:57 202 NeroDigital.ini
10.04.2006 22:04 207 uno.ini
10.04.2006 21:19 248 BUHL.INI
10.04.2006 00:14 84.479 wmsetup.log
02.04.2006 19:14 5.198 klamm.de_cold.ico
02.04.2006 19:14 5.510 klamm.de.ico
29.03.2006 20:09 1.262 win.ini
29.03.2006 19:44 1.080 AUTOLNCH.REG
27.03.2006 17:53 1.137 IE4 Error Log.txt
12.03.2006 13:54 936 DirectX.log
08.03.2006 11:28 670 GEARInstall.log
07.03.2006 11:48 0 musicmaker.INI
05.03.2006 21:23 16.749 wizard.log
05.03.2006 21:19 13.508 wizard.log_20060305_20_23_21
05.03.2006 21:15 8.249 WGA.log
05.03.2006 21:15 18.974 ehOCGen.log
05.03.2006 21:15 49.899 MedCtrOC.log
05.03.2006 21:15 6.649 iis6.log
05.03.2006 21:15 1.247 ntdtcsetup.log
05.03.2006 21:15 15.600 tabletoc.log
05.03.2006 21:15 109.041 comsetup.log
05.03.2006 21:15 7.907 KB898461.log
05.03.2006 21:15 17.235 ocmsn.log
05.03.2006 21:15 1.355 imsins.log
05.03.2006 21:15 149.204 tsoc.log
05.03.2006 21:15 15.635 msgsocm.log
05.03.2006 21:15 39.505 plusoc.log
05.03.2006 21:15 67.934 netfxocm.log
05.03.2006 21:15 160.436 ocgen.log
05.03.2006 21:15 321.708 FaxSetup.log
05.03.2006 21:15 103.830 msmqinst.log
28.02.2006 20:22 45 wwwbatch.ini
28.02.2006 20:22 1.180 FRNDSL.log
27.02.2006 20:03 25 accessdll.log
27.02.2006 20:03 1.028 avmsetup.log
25.02.2006 17:19 606 One Cat Doodler 3.uis
25.02.2006 17:19 36.864 uninst.exe
25.02.2006 17:19 36.864 ocuninst.exe
25.02.2006 11:06 303.104 Setup1.exe
25.02.2006 11:06 74.752 ST6UNST.EXE
24.02.2006 02:41 3.722 dahotfix.log
24.02.2006 02:41 19.360 dasetup.log
24.02.2006 02:05 363.216 setupact.log
16.02.2006 19:38 122 telephon.ini
14.02.2006 22:51 72.998 _detmp.1
14.02.2006 22:50 703 avmadd32.log
14.02.2006 19:33 2.510 Microsoft.MIF
12.02.2006 23:45 5.022 ModemLog_Sony Ericsson W550 USB WMC Modem.txt
12.02.2006 23:45 4.794 ModemLog_Sony Ericsson W550 USB WMC Data Modem.txt
10.02.2006 12:25 170 setup.log
09.02.2006 21:11 2.464 $_hpcst$.hpc
30.01.2006 22:59 50.398 DPINST.LOG
25.01.2006 12:10 478.720 WRUninstall.dll
14.01.2006 23:11 237 wmsetup10.log
14.01.2006 08:52 316.640 WMSysPr9.prx
08.01.2006 19:48 309 svcpack.log
01.01.2006 22:37 30 Iedit.INI
24.12.2005 17:21 5.120 Thumbs.db
24.12.2005 16:20 28.672 gscr.dll
03.12.2005 17:22 43 gswin32.ini
20.11.2005 17:34 272 system.ini
20.11.2005 17:32 72 wipdate.log
20.11.2005 16:11 20 hppsapp.INI
20.11.2005 14:57 0 setuperr.log
19.11.2005 11:40 2.366 patch.log
13.11.2005 15:11 5.820 COM+.log
22.10.2005 08:49 83 wwp.INI
16.10.2005 17:38 83 GraphicsDesk.INI
15.10.2005 21:37 636 ODBC.INI
15.10.2005 21:34 4.346 ODBCINST.INI
15.09.2005 14:35 50 UNNeroMediaHome.cfg
12.09.2005 16:13 233.472 UNRecode.exe
12.09.2005 16:13 233.472 UNNeroMediaHome.exe
12.09.2005 16:13 233.472 UNNeroVision.exe
12.09.2005 16:13 233.472 UNNeroBackItUp.exe
12.09.2005 16:13 233.472 UNNeroShowTime.exe
11.09.2005 15:25 44.784 MAGIX midi studio 2005 deLuxe.PRF
11.09.2005 15:24 0 AudStu.INI
11.09.2005 15:20 24 magix.ini
05.09.2005 09:44 156.910 WMSysPr8.prx
30.08.2005 21:37 50 UNNeroVision.cfg
30.08.2005 21:37 50 UNNeroShowTime.cfg
30.08.2005 21:36 50 UNRecode.cfg
30.08.2005 21:33 50 UNNeroBackItUp.cfg
18.08.2005 07:35 4.566 imsins.BAK
15.08.2005 21:31 4.096 d3dx.dat


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\

14.04.2006 18:57 0 sys.txt
14.04.2006 18:57 12.646 system.txt
14.04.2006 18:56 22.661 systemtemp.txt
14.04.2006 18:55 118.793 system32.txt
14.04.2006 18:53 92 pmcs.txt
14.04.2006 18:52 101 recorder.txt
14.04.2006 18:52 1.392 checkrun.txt
14.04.2006 18:51 536.399.872 hiberfil.sys
14.04.2006 18:51 805.306.368 pagefile.sys
14.04.2006 18:46 2.244 avenger.txt
14.04.2006 18:44 1.080 tcyfmjem.bat
14.04.2006 18:44 126.976 zip.exe
14.04.2006 15:21 3.411 LOGFILE.TXT
29.03.2006 19:43 0 Log.txt
20.11.2005 17:34 220 boot.ini
15.08.2005 20:01 62 CONFIG.SYS
15.08.2005 20:01 33 AUTOEXEC.BAT
20.05.2005 14:09 251.712 ntldr
20.05.2005 13:55 0 IO.SYS
20.05.2005 13:55 0 MSDOS.SYS
09.05.2005 15:06 17.989 Prodlog.txt
10.08.2004 14:00 4.952 bootfont.bin
10.08.2004 14:00 47.564 NTDETECT.COM
05.01.2002 03:40 487.424 msvcp70.dll
05.01.2002 03:37 344.064 msvcr70.dll
25 Datei(en) 1.343.149.656 Bytes
0 Verzeichnis(se), 83.578.413.056 Bytes frei



ich hoffe es hilft dir weiter
Seitenanfang Seitenende
14.04.2006, 19:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
http://www.stevengould.org/downloads/cleanup/CleanUp451.exe

2.
kopiere in den Avenger

Zitat

Files to delete:

C:\WINDOWS\ktd32.atm
C:\WINDOWS\system32\winkey.dll
C:\WINDOWS\system32\reginv.dl
C:\WINDOWS\services.exe
C:\WINDOWS\System\sservice.exe
C:\WINDOWS\system32\d_service.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip
C:\tcyfmjem.bat
C:\zip.exe
PC neustarten lassen.

3.
dann poste die zwei Logs vom Avenger
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 20:33
weinfurtnert
Member

Themenstarter

Beiträge: 35
#7 aber bei der virus-protect.org seite erscheint ja bei mir nichts wie soll ich ihn dann genauso einstellen wie abgebildet?????

gruß tom
Seitenanfang Seitenende
14.04.2006, 20:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 wende den CleanUp so an, wie er nach der Installation erscheint.

Klick "Options..."

(Custom Clean Up)

Hake an:

* Empty Recycle Bins
* Delete Cookies
* Delete Prefetch files
* Cleanup! All Users

Click OK

Klicke den CleanUp! Button, um das Programm zu starten
Wenn man am Ende gefragt wird, ob der PC neustarten soll (reboot), klicke "yes"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 05:55
weinfurtnert
Member

Themenstarter

Beiträge: 35
#9 hi.kam die meldung kann zip file nicht erstellen

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hkpuoewn

*******************

Script file located at: \??\C:\WINDOWS\dfxjdfbk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\ktd32.atm deleted successfully.


File C:\WINDOWS\system32\winkey.dll not found!
Deletion of file C:\WINDOWS\system32\winkey.dll failed!

Could not process line:
C:\WINDOWS\system32\winkey.dll
Status: 0xc0000034



File C:\WINDOWS\system32\reginv.dl not found!
Deletion of file C:\WINDOWS\system32\reginv.dl failed!

Could not process line:
C:\WINDOWS\system32\reginv.dl
Status: 0xc0000034



File C:\WINDOWS\services.exe not found!
Deletion of file C:\WINDOWS\services.exe failed!

Could not process line:
C:\WINDOWS\services.exe
Status: 0xc0000034



File C:\WINDOWS\System\sservice.exe not found!
Deletion of file C:\WINDOWS\System\sservice.exe failed!

Could not process line:
C:\WINDOWS\System\sservice.exe
Status: 0xc0000034

File C:\WINDOWS\system32\d_service.exe deleted successfully.


File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip not found!
Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip failed!

Could not process line:
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip
Status: 0xc0000034



File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip not found!
Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip failed!

Could not process line:
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip
Status: 0xc0000034

File C:\tcyfmjem.bat deleted successfully.
File C:\zip.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ldggxois

*******************

Script file located at: \??\C:\WINDOWS\system32\pgkuafmy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\ktd32.atm not found!
Deletion of file C:\WINDOWS\ktd32.atm failed!

Could not process line:
C:\WINDOWS\ktd32.atm
Status: 0xc0000034



File C:\WINDOWS\system32\winkey.dll not found!
Deletion of file C:\WINDOWS\system32\winkey.dll failed!

Could not process line:
C:\WINDOWS\system32\winkey.dll
Status: 0xc0000034



File C:\WINDOWS\system32\reginv.dl not found!
Deletion of file C:\WINDOWS\system32\reginv.dl failed!

Could not process line:
C:\WINDOWS\system32\reginv.dl
Status: 0xc0000034



File C:\WINDOWS\services.exe not found!
Deletion of file C:\WINDOWS\services.exe failed!

Could not process line:
C:\WINDOWS\services.exe
Status: 0xc0000034



File C:\WINDOWS\System\sservice.exe not found!
Deletion of file C:\WINDOWS\System\sservice.exe failed!

Could not process line:
C:\WINDOWS\System\sservice.exe
Status: 0xc0000034



File C:\WINDOWS\system32\d_service.exe not found!
Deletion of file C:\WINDOWS\system32\d_service.exe failed!

Could not process line:
C:\WINDOWS\system32\d_service.exe
Status: 0xc0000034



File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip not found!
Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip failed!

Could not process line:
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip
Status: 0xc0000034



File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip not found!
Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip failed!

Could not process line:
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip
Status: 0xc0000034



File C:\tcyfmjem.bat not found!
Deletion of file C:\tcyfmjem.bat failed!

Could not process line:
C:\tcyfmjem.bat
Status: 0xc0000034



File C:\zip.exe not found!
Deletion of file C:\zip.exe failed!

Could not process line:
C:\zip.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sepkatwo

*******************

Script file located at: \??\C:\WINDOWS\system32\wdttaqrs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\ktd32.atm not found!
Deletion of file C:\WINDOWS\ktd32.atm failed!

Could not process line:
C:\WINDOWS\ktd32.atm
Status: 0xc0000034



File C:\WINDOWS\system32\winkey.dll not found!
Deletion of file C:\WINDOWS\system32\winkey.dll failed!

Could not process line:
C:\WINDOWS\system32\winkey.dll
Status: 0xc0000034



File C:\WINDOWS\system32\reginv.dl not found!
Deletion of file C:\WINDOWS\system32\reginv.dl failed!

Could not process line:
C:\WINDOWS\system32\reginv.dl
Status: 0xc0000034



File C:\WINDOWS\services.exe not found!
Deletion of file C:\WINDOWS\services.exe failed!

Could not process line:
C:\WINDOWS\services.exe
Status: 0xc0000034



File C:\WINDOWS\System\sservice.exe not found!
Deletion of file C:\WINDOWS\System\sservice.exe failed!

Could not process line:
C:\WINDOWS\System\sservice.exe
Status: 0xc0000034



File C:\WINDOWS\system32\d_service.exe not found!
Deletion of file C:\WINDOWS\system32\d_service.exe failed!

Could not process line:
C:\WINDOWS\system32\d_service.exe
Status: 0xc0000034



File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip not found!
Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip failed!

Could not process line:
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip
Status: 0xc0000034



File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip not found!
Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip failed!

Could not process line:
C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip
Status: 0xc0000034



File C:\tcyfmjem.bat not found!
Deletion of file C:\tcyfmjem.bat failed!

Could not process line:
C:\tcyfmjem.bat
Status: 0xc0000034



File C:\zip.exe not found!
Deletion of file C:\zip.exe failed!

Could not process line:
C:\zip.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
15.04.2006, 09:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 nun poste bitte noch mal die Logs von datfindbat (alle 4)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 09:39
weinfurtnert
Member

Themenstarter

Beiträge: 35
#11 hi.hier diee logs

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS\system32

15.04.2006 05:51 45.056 CompiledAdapter
09.04.2006 15:35 1.158 wpa.dbl
29.03.2006 15:18 8.224 GDIPFONTCACHEV1.DAT
29.03.2006 15:16 524.112 FNTCACHE.DAT
26.03.2006 23:37 69.900 perfc009.dat
26.03.2006 23:37 432.624 perfh007.dat
26.03.2006 23:37 81.172 perfc007.dat
26.03.2006 23:37 420.836 perfh009.dat
26.03.2006 23:37 1.016.924 PerfStringBackup.INI
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
26.01.2006 10:48 15.360 BASSMOD.dll
25.01.2006 12:09 492.544 WRLogonNtf.dll
25.01.2006 12:09 8.192 ssiefr.EXE
25.01.2006 12:09 17.920 wrlzma.dll
25.01.2006 03:35 200.704 libssl32.dll
19.01.2006 17:10 7.006 jupdate-1.5.0_06-b05.log
18.01.2006 17:09 3.243 jupdate-1.4.2_06-b03.log
14.01.2006 08:54 16.832 amcompat.tlb
14.01.2006 08:54 23.392 nscompat.tlb
08.12.2005 14:56 65.536 QuickTimeVR.qtx
08.12.2005 14:56 49.152 QuickTime.qts
20.11.2005 17:12 552 d3d8caps.dat
10.11.2005 14:03 49.265 jpicpl32.cpl
10.11.2005 12:27 49.250 javaw.exe
10.11.2005 12:27 49.248 java.exe
03.11.2005 12:50 200.704 ssleay32.dll
03.11.2005 12:50 1.064.960 libeay32.dll
03.11.2005 10:43 0 asfiles.txt
03.11.2005 10:40 2.550 Uninstall.ico
03.11.2005 10:40 1.406 Help.ico
03.11.2005 10:40 1.718 Open.ico
03.11.2005 10:40 1.406 AddQuit.ico
03.11.2005 10:40 5.350 IE.ico
03.11.2005 10:40 9.470 Desktop.ico
03.11.2005 10:40 1.718 Quick.ico
01.11.2005 14:19 7.314.334 WinTemp20584.exe
01.11.2005 14:19 105 MSRunningDLL.exe.bat
01.11.2005 14:19 51.733 plugin1.dat


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

15.04.2006 09:35 218.149 ~ept0002.jpg
15.04.2006 09:31 917.504 MFPL7014.DLL
15.04.2006 09:26 243.232 ~ept0001.jpg
15.04.2006 09:24 2.752.512 ~DFDD18.tmp
15.04.2006 09:24 0 EPSLog.txt
15.04.2006 09:16 0 JET3263.tmp
15.04.2006 09:16 0 JET17A7.tmp
15.04.2006 09:10 31.880 AAX8D.tmp
15.04.2006 09:05 31.880 AAX8A.tmp
15.04.2006 08:46 369.239 ~ept0000.jpg
15.04.2006 08:29 31.880 AAX84.tmp
15.04.2006 08:23 31.880 AAX7E.tmp
15.04.2006 08:20 31.880 AAX78.tmp
15.04.2006 08:15 31.880 AAX72.tmp
15.04.2006 07:16 31.880 AAX66.tmp
15.04.2006 07:12 31.880 AAX63.tmp
15.04.2006 07:09 31.880 AAX60.tmp
15.04.2006 07:04 31.880 AAX5A.tmp
15.04.2006 06:55 31.880 AAX54.tmp
15.04.2006 06:25 741 VGX2C.tmp
15.04.2006 06:00 204 jusched.log
15.04.2006 05:51 81.920 ~DFF49B.tmp
15.04.2006 05:51 16.384 Perflib_Perfdata_88c.dat
15.04.2006 05:51 408 WCESCOMM.LOG
15.04.2006 05:44 81.920 ~DFA4.tmp
25 Datei(en) 5.032.893 Bytes
0 Verzeichnis(se), 81.973.755.904 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS

15.04.2006 05:51 0 0.log
15.04.2006 05:51 438.012 WindowsUpdate.log
15.04.2006 05:50 159 wiadebug.log
15.04.2006 05:50 50 wiaservc.log
15.04.2006 05:50 2.048 bootstat.dat
15.04.2006 05:49 32.548 SchedLgU.Txt
15.04.2006 05:47 652 rkwjyeiv.txt
14.04.2006 16:19 539.331 setupapi.log
14.04.2006 14:53 177.354 ntbtlog.txt
12.04.2006 19:57 202 NeroDigital.ini
10.04.2006 22:04 207 uno.ini
10.04.2006 21:19 248 BUHL.INI
10.04.2006 00:14 84.479 wmsetup.log
02.04.2006 19:14 5.198 klamm.de_cold.ico
02.04.2006 19:14 5.510 klamm.de.ico
29.03.2006 20:09 1.262 win.ini
29.03.2006 19:44 1.080 AUTOLNCH.REG
12.03.2006 13:54 936 DirectX.log
08.03.2006 11:28 670 GEARInstall.log
07.03.2006 11:48 0 musicmaker.INI
05.03.2006 21:23 16.749 wizard.log
05.03.2006 21:19 13.508 wizard.log_20060305_20_23_21
05.03.2006 21:15 8.249 WGA.log
05.03.2006 21:15 18.974 ehOCGen.log
05.03.2006 21:15 49.899 MedCtrOC.log
05.03.2006 21:15 6.649 iis6.log
05.03.2006 21:15 1.247 ntdtcsetup.log
05.03.2006 21:15 15.600 tabletoc.log
05.03.2006 21:15 149.204 tsoc.log
05.03.2006 21:15 109.041 comsetup.log
05.03.2006 21:15 17.235 ocmsn.log
05.03.2006 21:15 1.355 imsins.log
05.03.2006 21:15 7.907 KB898461.log
05.03.2006 21:15 39.505 plusoc.log
05.03.2006 21:15 160.436 ocgen.log
05.03.2006 21:15 15.635 msgsocm.log
05.03.2006 21:15 67.934 netfxocm.log
05.03.2006 21:15 321.708 FaxSetup.log
05.03.2006 21:15 103.830 msmqinst.log
28.02.2006 20:22 45 wwwbatch.ini
28.02.2006 20:22 1.180 FRNDSL.log
27.02.2006 20:03 25 accessdll.log
27.02.2006 20:03 1.028 avmsetup.log
25.02.2006 17:19 606 One Cat Doodler 3.uis
25.02.2006 17:19 36.864 uninst.exe
25.02.2006 17:19 36.864 ocuninst.exe
25.02.2006 11:06 303.104 Setup1.exe
25.02.2006 11:06 74.752 ST6UNST.EXE
24.02.2006 02:41 3.722 dahotfix.log
24.02.2006 02:41 19.360 dasetup.log
24.02.2006 02:05 363.216 setupact.log
16.02.2006 19:38 122 telephon.ini
14.02.2006 22:51 72.998 _detmp.1
14.02.2006 22:50 703 avmadd32.log
14.02.2006 19:33 2.510 Microsoft.MIF
12.02.2006 23:45 5.022 ModemLog_Sony Ericsson W550 USB WMC Modem.txt
12.02.2006 23:45 4.794 ModemLog_Sony Ericsson W550 USB WMC Data Modem.txt
10.02.2006 12:25 170 setup.log
09.02.2006 21:11 2.464 $_hpcst$.hpc
30.01.2006 22:59 50.398 DPINST.LOG
25.01.2006 12:10 478.720 WRUninstall.dll
14.01.2006 23:11 237 wmsetup10.log
14.01.2006 08:52 316.640 WMSysPr9.prx
08.01.2006 19:48 309 svcpack.log
01.01.2006 22:37 30 Iedit.INI
24.12.2005 17:21 5.120 Thumbs.db
24.12.2005 16:20 28.672 gscr.dll
03.12.2005 17:22 43 gswin32.ini
20.11.2005 17:34 272 system.ini
20.11.2005 17:32 72 wipdate.log
20.11.2005 16:11 20 hppsapp.INI
20.11.2005 14:57 0 setuperr.log
19.11.2005 11:40 2.366 patch.log
13.11.2005 15:11 5.820 COM+.log


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\

15.04.2006 09:39 0 sys.txt
15.04.2006 09:38 12.594 system.txt
15.04.2006 09:38 1.453 systemtemp.txt
15.04.2006 09:37 118.742 system32.txt
15.04.2006 05:51 92 pmcs.txt
15.04.2006 05:51 101 recorder.txt
15.04.2006 05:51 1.566 checkrun.txt
15.04.2006 05:50 536.399.872 hiberfil.sys
15.04.2006 05:49 805.306.368 pagefile.sys
15.04.2006 05:49 13.988 avenger.txt
15.04.2006 05:47 1.080 ehxhyxqt.bat
15.04.2006 05:46 1.080 mdodftua.bat
14.04.2006 15:21 3.411 LOGFILE.TXT
29.03.2006 19:43 0 Log.txt
20.11.2005 17:34 220 boot.ini
15.08.2005 20:01 62 CONFIG.SYS
15.08.2005 20:01 33 AUTOEXEC.BAT
20.05.2005 14:09 251.712 ntldr
20.05.2005 13:55 0 MSDOS.SYS
20.05.2005 13:55 0 IO.SYS
09.05.2005 15:06 17.989 Prodlog.txt
10.08.2004 14:00 4.952 bootfont.bin
10.08.2004 14:00 47.564 NTDETECT.COM
05.01.2002 03:40 487.424 msvcp70.dll
05.01.2002 03:37 344.064 msvcr70.dll
25 Datei(en) 1.343.014.367 Bytes
0 Verzeichnis(se), 81.973.755.904 Bytes frei
Seitenanfang Seitenende
15.04.2006, 09:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 die dat haben sich neu erstellt... wir muessen den Downloader finden (siehe kaspersky...)

1.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\rkwjyeiv.txt
C:\ehxhyxqt.bat
C:\mdodftua.bat

PC neustarten

2.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 14:52
weinfurtnert
Member

Themenstarter

Beiträge: 35
#13 hi.dr kaspersky scanner funktionierte leider bei mir nicht fa habe ich den von symantec genommen.

hier ist das resultat:


A scan has not been run. To start Virus Detection, click here.

C:\WINDOWS\system32\Dap\Dap.exe is infected with Hacktool
C:\WINDOWS\system32\Dap\smss.exe is infected with Backdoor.Trojan
C:\Programme\Gemeinsame Dateien\WinSoftware\CrXML.dll is infected with WinFixer
C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll is infected with WinFixer
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip is infected with Trojan.ByteVerify
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip is infected with Trojan.ByteVerify
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp is infected with Download.Trojan
Seitenanfang Seitenende
15.04.2006, 15:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 weinfurtnert

1.
loesche mit der Killbox:

C:\WINDOWS\system32\Dap\Dap.exe
C:\WINDOWS\system32\Dap\smss.exe
C:\Programme\Gemeinsame Dateien\WinSoftware\CrXML.dll
C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll

PC neustarten

2.
C:\Programme\Gemeinsame Dateien\WinSoftware --> loeschen
C:\WINDOWS\system32\Dap --> loeschen

3.
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

4,
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab


5.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WinHosts

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 17:01
weinfurtnert
Member

Themenstarter

Beiträge: 35
#15 hi.hier das counterspy ergebniss:

Spyware Scan Details
Start Date: 15.04.2006 16:03:22
End Date: 15.04.2006 16:47:27
Total Time: 44 mins 5 secs

Detected spyware

ABetterInternet.Aurora Adware (General) more information...
Details: Opens popups on the desktop based on site visit history; may disable or uninstall other software; denies uninstallation
Status: Deleted

Infected files detected
c:\windows\issm0064.dat


WinFixer Rogue Security Program more information...
Details: WinFixer is a disabled data repair utility that nags the user to purchase it in order to fix the problems reported in its scan.
Status: Deleted

Infected files detected
c:\windows\system32\drivers\df_kmd.sys
C:\!KillBox\CrXML.dll
C:\!KillBox\PCheck.dll

Infected registry entries detected
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware


KeyKey Commercial Key Logger more information...
Details: KeyKey Monitor is built to log every word and letter typed into a computer. It will record typing while in chat groups, email programs, instant messages, word processors.
Status: Deleted

Infected files detected
c:\windows\system32\zlib.dll


SafeSurfing.RsyncMon Browser Plug-in more information...
Details: SafeSurfing.RsyncMon is a SafeSurfing adware variant that installs as a Browser Helper Object (BHO) in Internet Explorer.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\Interface\{2AB7A3C6-9D09-428C-AA65-07BD49FB7065}\TypeLib Version 1.0


WinAntiSpyware Rogue Security Program more information...
Details: WinAntispyware is a rogue antis-pyware product which pesters users with scareware tactics to purchase the product.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware


Msqsrc Trojan more information...
Details: Msqsrc is a malware downloader related to Trojan-Downloader.Win32.Dluca.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\InfoSoft
HKEY_CURRENT_USER\Software\InfoSoft UseRUU 1


Com.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\thomas\cookies\thomas@com[1].txt



Hier ist das Regsearch log:


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 15.04.2006 16:54:45 for strings:
; 'winhosts'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS\0000]
"Service"="WinHosts"
"DeviceDesc"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts]
; Contents of value:
; C:\WINDOWS\system32\WinHosts.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
57,69,6e,48,6f,73,74,73,2e,65,78,65,00
"DisplayName"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS\0000]
"Service"="WinHosts"
"DeviceDesc"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts]
; Contents of value:
; C:\WINDOWS\system32\WinHosts.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
57,69,6e,48,6f,73,74,73,2e,65,78,65,00
"DisplayName"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Enum]
"0"="Root\\LEGACY_WINHOSTS\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS\0000]
"Service"="WinHosts"
"DeviceDesc"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts]
; Contents of value:
; C:\WINDOWS\system32\WinHosts.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
57,69,6e,48,6f,73,74,73,2e,65,78,65,00
"DisplayName"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Enum]
"0"="Root\\LEGACY_WINHOSTS\\0000"

[HKEY_USERS\S-1-5-21-1906362370-3587733247-3442554471-1006\Software\Neuber GbR\Security Task Manager\Cache]
"C:\\WINDOWS\\system32\\WinHosts.exe"="1184"

; End Of The Log...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12