Home » Viren, Trojaner & Malware Forum » ich werd immer auf komische seiten verlinkt » Themenansicht
ich werd immer auf komische seiten verlinkt |
||
|---|---|---|
| #0
| ||
|
20.04.2006, 14:41
Member
Themenstarter Beiträge: 18 |
||
 
|
|
|
|
21.04.2006, 01:36
Ehrenmitglied
 Beiträge: 29434 |
#17
Dr.Web http://virus-protect.org/cureit.html Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.04.2006, 14:48
Member
Themenstarter Beiträge: 18 |
||
|
|
|
|
|
23.04.2006, 15:24
Ehrenmitglied
Beiträge: 29434 |
#19
jelly
1. Lade den Browser Firefox und surfe nur noch mit ihm (der IE bleibt fuer die WindowsUpdates) http://virus-protect.org/firefox.html 2. poste das neue Log vom HijackThis  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.04.2006, 15:50
Member
Themenstarter Beiträge: 18 |
#20
Logfile of HijackThis v1.99.1
Scan saved at 15:50:12, on 23.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Acer\eManager\anbmServ.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\WLTRAY.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\acer\eRecovery\Monitor.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Privat\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - Startup: Registration .LNK = D:\Dokumente und Einstellungen\Privat\Desktop\RegistrationReminder.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125613106120 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EA4FE34A-288F-47A4-90BF-EFA8E7E41F53}: NameServer = 85.255.116.37 85.255.112.85 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe und was meinst? |
|
|
|
|
|
|
23.04.2006, 17:35
Ehrenmitglied
Beiträge: 29434 |
#21
jelly
Fixe mit dem HijackThis: O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag PC neustarten und poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.04.2006, 19:01
...neu hier
Beiträge: 6 |
#22
Hallo Sabina, ich bins wieder :-(
Mit dem TR/Swizzor.A hat sich's erledigt dank dir, aber jetzt habe ich das problem TR/Dialer.OY.7 Logfile of HijackThis v1.99.1 Scan saved at 19:00:57, on 24.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\MI3AA1~1\wcescomm.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=about:blank O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128166227833 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: winzqn32 - C:\WINDOWS\SYSTEM32\winzqn32.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe |
|
|
|
|
|
|
25.04.2006, 00:22
Ehrenmitglied
Beiträge: 29434 |
#23
orhanefe
Einzelne Dateien scannen http://sandbox.norman.no/live_4.html C:\WINDOWS\SYSTEM32\winzqn32.dll kopiere den Report ab -------------- 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.04.2006, 21:40
Member
Themenstarter Beiträge: 18 |
#24
Hallo Sabina!
Habs zweimal gefixt, aber irgend wie will der nich weg! ... und nun? DAnke Logfile of HijackThis v1.99.1 Scan saved at 21:37:10, on 25.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\acer\eRecovery\Monitor.exe C:\Acer\eManager\anbmServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Privat\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - Startup: Registration .LNK = D:\Dokumente und Einstellungen\Privat\Desktop\RegistrationReminder.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125613106120 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EA4FE34A-288F-47A4-90BF-EFA8E7E41F53}: NameServer = 85.255.116.37 85.255.112.85 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe |
|
|
|
|
|
|
26.04.2006, 11:36
Ehrenmitglied
Beiträge: 29434 |
#25
jelly
1. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpyBrowser in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ------------------------------------------------------------------ 2. oeffne da Notepad (Texteditor) kopiere folgendes rein: Zitat regedit /e c:\domains.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"Speichern als export.bat auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. doppelklick -- c:\domains.txt -- Text abkopieren und posten ----------------------------------------------------------------- 3. Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint Zitat dir /s /a "C:\Programme\SpyBro*.*" > c:\find.txt & start notepad c:\find.txt------------------------------------------------------------------- 4.. Start-->Ausfuehren--> cmd reinkopieren: Zitat C:\Programme\SpyBro\SpyBro.exe /uenter klicken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.04.2006, 20:16
...neu hier
Beiträge: 6 |
#26
Hallo Sabina,
Einzelne Dateien scannen http://sandbox.norman.no/live_4.html C:\WINDOWS\SYSTEM32\winzqn32.dll kopiere den Report ab das habe ich nicht verstanden, funktioniert irgendwie nicht :-( |
|
|
|
|
|
|
26.04.2006, 23:08
Ehrenmitglied
Beiträge: 29434 |
#27
orhanefe
in File to upload kopierst du rein: C:\WINDOWS\SYSTEM32\winzqn32.dll dann kopierst du ab, was erscheint und dann poste mir die Logs , um die ich gebeten hatte. Zitat 1.so koennen wir das Problem loesen...was mehr oder weniges dieses ist.... http://virus-protect.org/artikel/spyware/winnvy32.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
29.04.2006, 21:00
...neu hier
Beiträge: 6 |
#28
Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 24/03-2006 Your message ID (for later reference): 20060426-1208 winzqn32.dll : Not detected by sandbox (Signature: W32/Agent.ZXH) [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * Decompressing NSPack. * File length: 12243 bytes. * MD5 hash: 167fbb8fc80f6d4722b60113eb1a3baa. (C) 2004-2006 Norman ASA. All Rights Reserved. The material presented is distributed by Norman ASA as an information source only. Sent by efsanefener@web.de to sandbox. Received 26.Apr 2006 at 20.17 - processed 27.Apr 2006 at 00.15. Clean Up WinZip Extract MRU list - removed from the registry. WinZip File MRU list - removed from the registry. CleanUp! 4.5.1 recovered 839.3 MB of disk space from 29009 files. CleanUp! finished on 04/29/06 21:02:43. DatFind letzte 3 monate Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 405D-2F32 Verzeichnis von C:\WINDOWS\system32 29.04.2006 21:03 4.976 stdole3.tlb 29.04.2006 20:57 6.144 simpole.tlb 29.04.2006 20:57 16.440 dcomcfg.exe 29.04.2006 20:57 10.044 atmclk.exe 29.04.2006 20:57 4.286 ot.ico 29.04.2006 20:57 4.286 ts.ico 29.04.2006 20:56 30.733 ldC86C.tmp 29.04.2006 20:56 15.133 regperf.exe 27.04.2006 07:35 228.000 FNTCACHE.DAT 25.04.2006 21:26 383.588 perfh009.dat 25.04.2006 21:26 395.074 perfh007.dat 25.04.2006 21:26 53.942 perfc009.dat 25.04.2006 21:26 64.994 perfc007.dat 25.04.2006 21:26 906.552 PerfStringBackup.INI 23.04.2006 23:41 2.206 wpa.dbl 22.04.2006 22:27 12.243 winzqn32.dll 18.04.2006 22:44 5 wincut.dat 08.04.2006 00:23 4.212 zllictbl.dat 06.04.2006 21:48 5.143.456 MRT.exe 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 23.03.2006 22:34 3.074.560 mshtml.dll 23.03.2006 20:51 152 Wmdm.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 405D-2F32 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 29.04.2006 21:03 21.097 jusched.log 29.04.2006 20:53 910 WCESCOMM.LOG 29.04.2006 20:53 122.036 WCESLog.log 27.04.2006 21:34 1.248 java_install_reg.log 25.04.2006 22:21 178.331 WCESMgr.log 25.04.2006 21:30 10.426 WcesView.log 19.04.2006 17:00 62.574 e3483.exe 19.04.2006 16:00 62.574 3c883a3.exe 19.04.2006 15:00 62.574 381b5b1.exe 19.04.2006 14:00 62.574 37ea748.exe 19.04.2006 13:00 62.574 337d653.exe 19.04.2006 12:00 62.574 2ecc82f.exe 19.04.2006 11:00 62.574 2a5fb66.exe 19.04.2006 10:00 62.574 292eac4.exe 19.04.2006 09:00 62.574 24b1cbb.exe 19.04.2006 08:00 62.574 2000fdd.exe 19.04.2006 07:00 62.574 1f9218a.exe 19.04.2006 06:00 62.574 1b65088.exe 19.04.2006 05:00 62.574 16f424b.exe 19.04.2006 04:00 62.574 12475ed.exe 19.04.2006 03:00 62.574 11d6790.exe 19.04.2006 02:00 62.574 cb9902.exe 19.04.2006 01:00 62.574 80882b.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 405D-2F32 Verzeichnis von C:\WINDOWS 29.04.2006 20:52 1.246.299 WindowsUpdate.log 29.04.2006 20:52 157 wiadebug.log 29.04.2006 20:52 50 wiaservc.log 29.04.2006 20:52 0 0.log 29.04.2006 20:52 2.048 bootstat.dat 29.04.2006 14:29 32.556 SchedLgU.Txt 26.04.2006 23:15 0 SEARCH 26.04.2006 20:20 389.654 iis6.log 26.04.2006 20:20 71.221 ntdtcsetup.log 26.04.2006 20:20 120.258 comsetup.log 26.04.2006 20:20 1.374 imsins.log 26.04.2006 20:20 17.113 tabletoc.log 26.04.2006 20:20 154.123 tsoc.log 26.04.2006 20:20 18.327 ocmsn.log 26.04.2006 20:20 11.634 KB900485.log 26.04.2006 20:20 58.023 netfxocm.log 26.04.2006 20:20 23.162 MedCtrOC.log 26.04.2006 20:20 163.312 ocgen.log 26.04.2006 20:20 16.233 msgsocm.log 26.04.2006 20:20 326.887 FaxSetup.log 26.04.2006 20:20 358.674 setupapi.log 26.04.2006 20:20 106.610 msmqinst.log 21.04.2006 00:19 1.454 COM+.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 405D-2F32 Verzeichnis von C:\ 29.04.2006 21:05 0 sys.txt 29.04.2006 21:05 10.609 system.txt 29.04.2006 21:05 3.226 systemtemp.txt 29.04.2006 21:04 120.415 system32.txt 29.04.2006 20:52 792.723.456 pagefile.sys 25.04.2006 10:34 2.309 DirDPF.txt 25.04.2006 10:31 2 DirDPFCns.txt 17.12.2005 00:24 389 boot.ini 01.10.2005 12:55 0 CONFIG.SYS 01.10.2005 12:55 0 MSDOS.SYS 01.10.2005 12:55 0 IO.SYS 01.10.2005 12:55 0 AUTOEXEC.BAT 31.12.2002 14:00 4.952 bootfont.bin 31.12.2002 14:00 47.564 NTDETECT.COM 31.12.2002 14:00 251.184 ntldr 15 Datei(en) 793.164.106 Bytes 0 Verzeichnis(se), 11.734.372.352 Bytes frei WinZip Extract MRU list - removed from the registry. WinZip File MRU list - removed from the registry. CleanUp! 4.5.1 recovered 637.2 MB of disk space from 2897 files. CleanUp! finished on 04/29/06 21:06:41. echo zip 10)DPF???? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 405D-2F32 Verzeichnis von C:\WINDOWS\Downloaded Program Files 07.01.2004 17:35 1.134 Cult.inf 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 02.03.2006 16:40 1.271 erma.inf 25.07.2002 18:05 172.032 isusweb.dll 10.11.2005 15:05 876 jinstall-1_5_0_06.inf 30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf 14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx 26.08.2004 13:12 126.976 popcaploader.dll 27.08.2005 13:30 5.065 swflash.inf 26.05.2005 04:19 291 wuweb.inf 11 Datei(en) 642.720 Bytes Anzahl der angezeigten Dateien: 11 Datei(en) 642.720 Bytes 0 Verzeichnis(se), 11.860.393.984 Bytes frei 10)DPF???? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 405D-2F32 Verzeichnis von C:\WINDOWS\Downloaded Program Files Dieser Beitrag wurde am 29.04.2006 um 21:08 Uhr von orhanefe editiert.
|
|
|
|
|
|
|
29.04.2006, 23:14
Ehrenmitglied
Beiträge: 29434 |
#29
orhanefe
1. öffne das HijackThis -- Button "scan" -- vor Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten O20 - Winlogon Notify: winzqn32 - C:\WINDOWS\SYSTEM32\winzqn32.dll PC neustarten 2. CleanUp noch mal...anwenden und PC neustarten http://virus-protect.org/cleanup.html arbeite das ab: http://virus-protect.org/artikel/spyware/spyfalcon.html Punkt 5 (killbox) C:\WINDOWS\Downloaded Program Files\popcaploader.dll C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\e3483.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3c883a3.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\381b5b1.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\37ea748.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\337d653.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2ecc82f.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2a5fb66.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\292eac4.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\24b1cbb.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2000fdd.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1f9218a.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1b65088.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\16f424b.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\12475ed.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\11d6790.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cb9902.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\80882b.exe C:\WINDOWS\system32\stdole3.tlb C:\WINDOWS\system32\simpole.tlb C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\ldC86C.tmp C:\WINDOWS\system32\regperf.exe C:\WINDOWS\system32\winzqn32.dll C:\WINDOWS\system32\wincut.dat ** nicht vergessen: Datenträgerbereinigung: und Löschen der Temporary-Dateien ** wenn du bei Punkt 13 angelangt bist DR.Web http://virus-protect.org/cureit.html Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. dann berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
30.04.2006, 11:28
Member
Themenstarter Beiträge: 18 |
#30
Hallo Sabina!
zu 1 REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 30.04.2006 11:20:50 for strings: ; 'spybrowser' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser] [HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\RemoteConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\Signatures] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\Microsoft\Windows\CurrentVersion\Run] "SpyBrowser"="C:\\Programme\\SpyBro\\SpyBro.exe /autostart" [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Antivirus] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\General] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\GuardOptions] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\GuardOptions\EnabledMonitors] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Monitors] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\RemoteConfig] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions\CustomScan] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions\SelectedFolders] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\ScanOptions\StartupCustomScan] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Scheduler] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Scheduler\CustomScan] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Scheduler\Event 0] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Startup] [HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\SpyBrowser\Statistics] ; End Of The Log... zu 2 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "preload"="C:\\Windows\\RUNXMLPL.exe" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "Broadcom Wireless Manager UI"="C:\\WINDOWS\\system32\\WLTRAY" "SoundMan"="SOUNDMAN.EXE" "eRecoveryService"="C:\\Windows\\System32\\Check.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "Logitech Utility"="Logi_MwX.Exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe" "NI.UERSU_0001_N68M1402"="\"C:\\Dokumente und Einstellungen\\Privat\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\4BJFYGDD\\ErrorSafeScannerInstall_de[1].exe\" -nag " "SunServer"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" bei Punkt 3 sagt er mir immer, dass die Datei nicht gefunden werden kann und bei Punkt 4, dass der angegebene Pfad nicht gefunden wird Danke dir vielmals! |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Hab alles gemacht was du gesagt hast! Er hat auch ne enge gefunden
vielen vielen dank
nochmehr?
Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nfgmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...
Random Runs removed from HKLM
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmgfn.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Spyware Scan Details
Start Date: 20.04.2006 14:09:42
End Date: 20.04.2006 14:32:44
Total Time: 23 mins 2 secs
Detected spyware
Trojan.Downloader.Small.popcorn Trojan Downloader more information...
Status: Deleted
Infected files detected
C:\System Volume Information\_restore{20805B88-0A57-49FE-94C0-35B1D4357244}\RP130\A0037747.EXE
C:\!KillBox\PPPCGM.EXE
Download Accelerator Plus Low Risk Adware more information...
Details: Download Accelerator Plus (DAP) is an advertising-supported download manager program from SpeedBit.com.
Status: Deleted
Infected registry entries detected
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\TypeLib {82351433-9094-11D1-A24B-00A0C932C7DF}
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\TypeLib Version 1.5
HKEY_CLASSES_ROOT\interface\{82351440-9094-11d1-a24b-00a0c932c7df} IAniGIF
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\TypeLib {82351433-9094-11D1-A24B-00A0C932C7DF}
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\TypeLib Version 1.5
HKEY_CLASSES_ROOT\interface\{5252ac41-94bb-11d1-b2e7-444553540000} IAniGIFEvents
UnSpyPC Rogue Security Program more information...
Details: UnSpyPC is a rogue anti-spyware program.
Status: Deleted
Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping {BF69DF00-4734-477F-8257-27CD04F88779}
DoubleClick Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@doubleclick[1].txt
Revenue.net Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@revenue[1].txt
TribalFusion.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@tribalfusion[1].txt
FastClick.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@media.fastclick[1].txt
CGI-Bin Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@cgi-bin[2].txt
Mediaplex.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@mediaplex[1].txt
ATDMT.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@atdmt[2].txt
Weborama Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\privat\cookies\privat@weborama[2].txt