ich werd immer auf komische seiten verlinkt

#0
20.04.2006, 14:41
Member

Themenstarter

Beiträge: 18
#16 Hallo Sabina!
Hab alles gemacht was du gesagt hast! Er hat auch ne enge gefunden
vielen vielen dank
nochmehr?

Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nfgmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmgfn.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Spyware Scan Details
Start Date: 20.04.2006 14:09:42
End Date: 20.04.2006 14:32:44
Total Time: 23 mins 2 secs

Detected spyware

Trojan.Downloader.Small.popcorn Trojan Downloader more information...
Status: Deleted

Infected files detected
C:\System Volume Information\_restore{20805B88-0A57-49FE-94C0-35B1D4357244}\RP130\A0037747.EXE
C:\!KillBox\PPPCGM.EXE


Download Accelerator Plus Low Risk Adware more information...
Details: Download Accelerator Plus (DAP) is an advertising-supported download manager program from SpeedBit.com.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\TypeLib {82351433-9094-11D1-A24B-00A0C932C7DF}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\TypeLib Version 1.5
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df} IAniGIF
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\TypeLib {82351433-9094-11D1-A24B-00A0C932C7DF}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\TypeLib Version 1.5
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000} IAniGIFEvents


UnSpyPC Rogue Security Program more information...
Details: UnSpyPC is a rogue anti-spyware program.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping {BF69DF00-4734-477F-8257-27CD04F88779}


DoubleClick Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@doubleclick[1].txt


Revenue.net Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@revenue[1].txt


TribalFusion.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@tribalfusion[1].txt


FastClick.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@media.fastclick[1].txt


CGI-Bin Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@cgi-bin[2].txt


Mediaplex.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@mediaplex[1].txt


ATDMT.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@atdmt[2].txt


Weborama Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@weborama[2].txt
Seitenanfang Seitenende
21.04.2006, 01:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17
Dr.Web

http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.04.2006, 14:48
Member

Themenstarter

Beiträge: 18
#18 Hallo Sabina!

Drweb sagt, das er keine viren gefunden hat. Meinst du alles ist wieder gut?
Danke
Seitenanfang Seitenende
23.04.2006, 15:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 jelly

1.
Lade den Browser Firefox und surfe nur noch mit ihm (der IE bleibt fuer die WindowsUpdates)
http://virus-protect.org/firefox.html

2.
poste das neue Log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.04.2006, 15:50
Member

Themenstarter

Beiträge: 18
#20 Logfile of HijackThis v1.99.1
Scan saved at 15:50:12, on 23.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Privat\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - Startup: Registration .LNK = D:\Dokumente und Einstellungen\Privat\Desktop\RegistrationReminder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125613106120
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA4FE34A-288F-47A4-90BF-EFA8E7E41F53}: NameServer = 85.255.116.37 85.255.112.85
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

und was meinst?
Seitenanfang Seitenende
23.04.2006, 17:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 jelly

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag

PC neustarten

und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 19:01
...neu hier

Beiträge: 6
#22 Hallo Sabina, ich bins wieder :-(

Mit dem TR/Swizzor.A hat sich's erledigt dank dir,
aber jetzt habe ich das problem

TR/Dialer.OY.7



Logfile of HijackThis v1.99.1
Scan saved at 19:00:57, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128166227833
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: winzqn32 - C:\WINDOWS\SYSTEM32\winzqn32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Seitenanfang Seitenende
25.04.2006, 00:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 orhanefe

Einzelne Dateien scannen

http://sandbox.norman.no/live_4.html

C:\WINDOWS\SYSTEM32\winzqn32.dll

kopiere den Report ab

--------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.04.2006, 21:40
Member

Themenstarter

Beiträge: 18
#24 Hallo Sabina!
Habs zweimal gefixt, aber irgend wie will der nich weg! ... und nun? DAnke
Logfile of HijackThis v1.99.1
Scan saved at 21:37:10, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Privat\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - Startup: Registration .LNK = D:\Dokumente und Einstellungen\Privat\Desktop\RegistrationReminder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125613106120
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA4FE34A-288F-47A4-90BF-EFA8E7E41F53}: NameServer = 85.255.116.37 85.255.112.85
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
Seitenanfang Seitenende
26.04.2006, 11:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 jelly

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyBrowser

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------

2.
oeffne da Notepad (Texteditor) kopiere folgendes rein:

Zitat

regedit /e c:\domains.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
Speichern als export.bat auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an.
doppelklick -- c:\domains.txt -- Text abkopieren und posten

-----------------------------------------------------------------

3.
Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "C:\Programme\SpyBro*.*" > c:\find.txt & start notepad c:\find.txt
-------------------------------------------------------------------

4..
Start-->Ausfuehren--> cmd

reinkopieren:

Zitat

C:\Programme\SpyBro\SpyBro.exe /u
enter klicken
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 20:16
...neu hier

Beiträge: 6
#26 Hallo Sabina,

Einzelne Dateien scannen
http://sandbox.norman.no/live_4.html

C:\WINDOWS\SYSTEM32\winzqn32.dll

kopiere den Report ab


das habe ich nicht verstanden,
funktioniert irgendwie nicht :-(
Seitenanfang Seitenende
26.04.2006, 23:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 orhanefe

in File to upload kopierst du rein:

C:\WINDOWS\SYSTEM32\winzqn32.dll

dann kopierst du ab, was erscheint und dann poste mir die Logs , um die ich gebeten hatte.

Zitat

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
so koennen wir das Problem loesen...was mehr oder weniges dieses ist....
http://virus-protect.org/artikel/spyware/winnvy32.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2006, 21:00
...neu hier

Beiträge: 6
#28 Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 24/03-2006

Your message ID (for later reference): 20060426-1208

winzqn32.dll : Not detected by sandbox (Signature: W32/Agent.ZXH)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Decompressing NSPack.
* File length: 12243 bytes.
* MD5 hash: 167fbb8fc80f6d4722b60113eb1a3baa.


(C) 2004-2006 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.

Sent by efsanefener@web.de to sandbox.
Received 26.Apr 2006 at 20.17 - processed 27.Apr 2006 at 00.15.





Clean Up

WinZip Extract MRU list - removed from the registry.
WinZip File MRU list - removed from the registry.
CleanUp! 4.5.1 recovered 839.3 MB of disk space from 29009 files.
CleanUp! finished on 04/29/06 21:02:43.



DatFind letzte 3 monate
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 405D-2F32

Verzeichnis von C:\WINDOWS\system32

29.04.2006 21:03 4.976 stdole3.tlb
29.04.2006 20:57 6.144 simpole.tlb
29.04.2006 20:57 16.440 dcomcfg.exe
29.04.2006 20:57 10.044 atmclk.exe
29.04.2006 20:57 4.286 ot.ico
29.04.2006 20:57 4.286 ts.ico
29.04.2006 20:56 30.733 ldC86C.tmp
29.04.2006 20:56 15.133 regperf.exe
27.04.2006 07:35 228.000 FNTCACHE.DAT
25.04.2006 21:26 383.588 perfh009.dat
25.04.2006 21:26 395.074 perfh007.dat
25.04.2006 21:26 53.942 perfc009.dat
25.04.2006 21:26 64.994 perfc007.dat
25.04.2006 21:26 906.552 PerfStringBackup.INI
23.04.2006 23:41 2.206 wpa.dbl
22.04.2006 22:27 12.243 winzqn32.dll
18.04.2006 22:44 5 wincut.dat
08.04.2006 00:23 4.212 zllictbl.dat
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
23.03.2006 20:51 152 Wmdm.log





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 405D-2F32

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

29.04.2006 21:03 21.097 jusched.log
29.04.2006 20:53 910 WCESCOMM.LOG
29.04.2006 20:53 122.036 WCESLog.log
27.04.2006 21:34 1.248 java_install_reg.log
25.04.2006 22:21 178.331 WCESMgr.log
25.04.2006 21:30 10.426 WcesView.log
19.04.2006 17:00 62.574 e3483.exe
19.04.2006 16:00 62.574 3c883a3.exe
19.04.2006 15:00 62.574 381b5b1.exe
19.04.2006 14:00 62.574 37ea748.exe
19.04.2006 13:00 62.574 337d653.exe
19.04.2006 12:00 62.574 2ecc82f.exe
19.04.2006 11:00 62.574 2a5fb66.exe
19.04.2006 10:00 62.574 292eac4.exe
19.04.2006 09:00 62.574 24b1cbb.exe
19.04.2006 08:00 62.574 2000fdd.exe
19.04.2006 07:00 62.574 1f9218a.exe
19.04.2006 06:00 62.574 1b65088.exe
19.04.2006 05:00 62.574 16f424b.exe
19.04.2006 04:00 62.574 12475ed.exe
19.04.2006 03:00 62.574 11d6790.exe
19.04.2006 02:00 62.574 cb9902.exe
19.04.2006 01:00 62.574 80882b.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 405D-2F32

Verzeichnis von C:\WINDOWS

29.04.2006 20:52 1.246.299 WindowsUpdate.log
29.04.2006 20:52 157 wiadebug.log
29.04.2006 20:52 50 wiaservc.log
29.04.2006 20:52 0 0.log
29.04.2006 20:52 2.048 bootstat.dat
29.04.2006 14:29 32.556 SchedLgU.Txt
26.04.2006 23:15 0 SEARCH
26.04.2006 20:20 389.654 iis6.log
26.04.2006 20:20 71.221 ntdtcsetup.log
26.04.2006 20:20 120.258 comsetup.log
26.04.2006 20:20 1.374 imsins.log
26.04.2006 20:20 17.113 tabletoc.log
26.04.2006 20:20 154.123 tsoc.log
26.04.2006 20:20 18.327 ocmsn.log
26.04.2006 20:20 11.634 KB900485.log
26.04.2006 20:20 58.023 netfxocm.log
26.04.2006 20:20 23.162 MedCtrOC.log
26.04.2006 20:20 163.312 ocgen.log
26.04.2006 20:20 16.233 msgsocm.log
26.04.2006 20:20 326.887 FaxSetup.log
26.04.2006 20:20 358.674 setupapi.log
26.04.2006 20:20 106.610 msmqinst.log
21.04.2006 00:19 1.454 COM+.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 405D-2F32

Verzeichnis von C:\

29.04.2006 21:05 0 sys.txt
29.04.2006 21:05 10.609 system.txt
29.04.2006 21:05 3.226 systemtemp.txt
29.04.2006 21:04 120.415 system32.txt
29.04.2006 20:52 792.723.456 pagefile.sys
25.04.2006 10:34 2.309 DirDPF.txt
25.04.2006 10:31 2 DirDPFCns.txt
17.12.2005 00:24 389 boot.ini
01.10.2005 12:55 0 CONFIG.SYS
01.10.2005 12:55 0 MSDOS.SYS
01.10.2005 12:55 0 IO.SYS
01.10.2005 12:55 0 AUTOEXEC.BAT
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 47.564 NTDETECT.COM
31.12.2002 14:00 251.184 ntldr
15 Datei(en) 793.164.106 Bytes
0 Verzeichnis(se), 11.734.372.352 Bytes frei



WinZip Extract MRU list - removed from the registry.
WinZip File MRU list - removed from the registry.
CleanUp! 4.5.1 recovered 637.2 MB of disk space from 2897 files.
CleanUp! finished on 04/29/06 21:06:41.


echo zip

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 405D-2F32

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.01.2004 17:35 1.134 Cult.inf
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
02.03.2006 16:40 1.271 erma.inf
25.07.2002 18:05 172.032 isusweb.dll
10.11.2005 15:05 876 jinstall-1_5_0_06.inf
30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx
26.08.2004 13:12 126.976 popcaploader.dll
27.08.2005 13:30 5.065 swflash.inf
26.05.2005 04:19 291 wuweb.inf
11 Datei(en) 642.720 Bytes

Anzahl der angezeigten Dateien:
11 Datei(en) 642.720 Bytes
0 Verzeichnis(se), 11.860.393.984 Bytes frei
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 405D-2F32

Verzeichnis von C:\WINDOWS\Downloaded Program Files
Dieser Beitrag wurde am 29.04.2006 um 21:08 Uhr von orhanefe editiert.
Seitenanfang Seitenende
29.04.2006, 23:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 orhanefe

1.
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: winzqn32 - C:\WINDOWS\SYSTEM32\winzqn32.dll

PC neustarten

2.
CleanUp noch mal...anwenden und PC neustarten
http://virus-protect.org/cleanup.html

arbeite das ab:
http://virus-protect.org/artikel/spyware/spyfalcon.html

Punkt 5 (killbox)

C:\WINDOWS\Downloaded Program Files\popcaploader.dll
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\e3483.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3c883a3.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\381b5b1.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\37ea748.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\337d653.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2ecc82f.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2a5fb66.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\292eac4.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\24b1cbb.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2000fdd.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1f9218a.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1b65088.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\16f424b.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\12475ed.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\11d6790.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cb9902.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\80882b.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ldC86C.tmp
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\winzqn32.dll
C:\WINDOWS\system32\wincut.dat

**
nicht vergessen: Datenträgerbereinigung: und Löschen der Temporary-Dateien

**
wenn du bei Punkt 13 angelangt bist

DR.Web

http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

dann berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 11:28
Member

Themenstarter

Beiträge: 18
#30 Hallo Sabina!

zu 1
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 30.04.2006 11:20:50 for strings:
; 'spybrowser'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\RemoteConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\Signatures]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\Microsoft\Windows\CurrentVersion\Run]
"SpyBrowser"="C:\\Programme\\SpyBro\\SpyBro.exe /autostart"

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Antivirus]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\General]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\GuardOptions]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\GuardOptions\EnabledMonitors]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Monitors]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\RemoteConfig]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions\CustomScan]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions\SelectedFolders]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions\StartupCustomScan]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Scheduler]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Scheduler\CustomScan]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Scheduler\Event 0]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Startup]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Statistics]

; End Of The Log...

zu 2

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="C:\\Windows\\RUNXMLPL.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"Broadcom Wireless Manager UI"="C:\\WINDOWS\\system32\\WLTRAY"
"SoundMan"="SOUNDMAN.EXE"
"eRecoveryService"="C:\\Windows\\System32\\Check.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Logitech Utility"="Logi_MwX.Exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"NI.UERSU_0001_N68M1402"="\"C:\\Dokumente und Einstellungen\\Privat\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\4BJFYGDD\\ErrorSafeScannerInstall_de[1].exe\" -nag "
"SunServer"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

bei Punkt 3 sagt er mir immer, dass die Datei nicht gefunden werden kann
und bei Punkt 4, dass der angegebene Pfad nicht gefunden wird

Danke dir vielmals!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: