Trojaner Dldr.Multi.B.4.J

#0
29.04.2006, 18:45
...neu hier

Beiträge: 2
#1 Hallo,

ich hab folgendes Problem. Unserer Sohnemann hat sich beim downloaden wahrscheinlich einen Virus eingefangen. Er versteckt sich in der Datei nkunpack.dll und trägt den Namen Dldr.Multi.B.4.J

Ausserdem vermute ich, dass er auch dafür verantwortlich ist, dass ich nicht mehr die Desktop-Hintergrundbilder manuell einstellen kann. Nur noch eine einfarbige Darstellung ist möglich.

Ich hoffe ihr könnt mir helfen hier, so dass ich mein System wieder sauber bekomme.

Danke im Voraus

Ralf

Antivir kann ihn nicht löschen. Anbei füge ich mal die log-Datei von Hijackthis bei:

Logfile of HijackThis v1.99.1
Scan saved at 18:42:46, on 29.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\winstall.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Logitech\SetPoint\KEM.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Helga Rott\Lokale Einstellungen\Temp\avenger.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Helga Rott\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Error Safe] C:\Programme\Error Safe Free\ers.exe /scan
O4 - HKLM\..\Run: [termcaps] C:\WINDOWS\system32\termcaps.exe
O4 - HKLM\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [termcaps] C:\WINDOWS\system32\termcaps.exe
O4 - HKLM\..\RunServices: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [termcaps] C:\WINDOWS\system32\termcaps.exe
O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Eigene Dateien\Marius\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Eigene Dateien\Marius\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Hier die 4 Txt-Dateien der datfinder.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D3-B0A0

Verzeichnis von C:\WINDOWS

29.04.2006 18:25 375.262 WindowsUpdate.log
29.04.2006 18:20 756 win.ini
29.04.2006 18:17 0 0.log
29.04.2006 18:17 2.048 bootstat.dat
29.04.2006 17:07 32.334 SchedLgU.Txt
29.04.2006 15:20 1.136.023 setupapi.log
23.04.2006 10:19 202 NeroDigital.ini
23.04.2006 00:35 50 wiaservc.log
23.04.2006 00:35 691 wiadebug.log
20.04.2006 12:16 269.921 setupact.log
18.04.2006 14:39 227 system.ini
13.04.2006 18:21 23 BlendSettings.ini
10.04.2006 00:24 249.856 Setup1.exe
10.04.2006 00:24 73.216 ST6UNST.EXE
08.04.2006 16:36 107.132 UninstallFirefox.exe
08.04.2006 16:36 8.993 mozver.dat
07.04.2006 13:17 317 simgrim3.txt
30.03.2006 19:14 22.545 DirectX.log
24.03.2006 15:38 108.306 wmsetup.log
23.03.2006 18:21 1.129 wmsetup10.log
23.03.2006 18:19 316.640 WMSysPr9.prx
16.03.2006 14:52 32 wininit.ini
15.03.2006 15:30 3 MWAISN.SYS
26.02.2006 15:05 30 Iedit.INI
24.02.2006 16:58 720.896 iun6002ev.exe
01.02.2006 22:01 132 GTARumbleSA.ini
01.02.2006 18:43 155 winamp.ini
23.01.2006 14:52 400 ODBC.INI
23.01.2006 14:39 796.672 GPInstall.exe
20.12.2005 18:10 0 musicmaker.INI
05.11.2005 18:46 86 ke.log
21.10.2005 20:52 536.428.544 MEMORY.DMP
21.10.2005 19:55 26 CMCDPLAY.INI
17.10.2005 07:56 682 avmadd32.log
17.10.2005 07:56 2.499 avmsetup.log
17.10.2005 07:56 0 accessdll.log
17.10.2005 07:55 2.944 avmsetup2.log
17.10.2005 07:55 2.950 avm6B.log
17.10.2005 07:55 1.471 avmsetup1.log
17.10.2005 07:55 25 avm62.log
17.10.2005 07:52 25 avm3B.log
16.10.2005 17:56 72.700 _detmp.9
16.10.2005 16:09 72.919 _detmp.7
16.10.2005 14:51 100.482 UninstallThunderbird.exe
16.10.2005 13:30 73.812 _detmp.5
16.10.2005 13:26 2.910 COM+.log
16.10.2005 13:18 39.955 comsetup.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D3-B0A0

Verzeichnis von C:\

29.04.2006 18:50 0 sys.txt
29.04.2006 18:50 7.550 system.txt
29.04.2006 18:50 393 systemtemp.txt
29.04.2006 18:50 111.323 system32.txt
29.04.2006 18:17 536.399.872 hiberfil.sys
29.04.2006 18:17 805.306.368 pagefile.sys
24.04.2006 20:57 32.768 winstall.exe
24.04.2006 20:57 0 uniq

18.04.2006 14:39 211 boot.ini
14.03.2006 18:51 0 data.txt
21.02.2006 22:05 119 mta.ini
23.01.2006 15:29 307 loginbild.png
03.12.2005 13:11 692.491.442 Image.nrg
15.11.2005 21:19 702.957.552 Image1.img
16.10.2005 14:16 5.544 TDSLCheck.txt
27.08.2005 14:29 856 flashplayer.xpt
21.05.2005 14:43 822 log.txt
26.03.2005 19:59 1.560.876 reclock_log.txt
31.12.2002 14:00 251.184 ntldr
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 47.564 NTDETECT.COM
05.06.2002 11:00 65.536 Amcap532.exe
05.01.2002 05:48 974.848 mfc70.dll
05.01.2002 05:36 964.608 mfc70u.dll
08.06.2000 17:00 119.384 NOTIFY.WAV
18.02.2000 22:11 0 CONFIG.SYS
18.02.2000 22:11 0 AUTOEXEC.BAT
18.02.2000 22:11 0 IO.SYS
18.02.2000 22:11 0 MSDOS.SYS
29 Datei(en) 2.741.304.079 Bytes
0 Verzeichnis(se), 2.760.433.664 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D3-B0A0

Verzeichnis von C:\WINDOWS\system32

29.04.2006 18:17 50.075 nvapps.xml
29.04.2006 18:17 166.743 OODBS.lor
28.04.2006 14:05 0 ImaS3r
28.04.2006 14:05 1.232 TheMatrixHasYou.exe

27.04.2006 07:28 360.936 FNTCACHE.DAT
25.04.2006 18:55 4.212 zllictbl.dat
25.04.2006 18:43 1.523 ikhcore.log
24.04.2006 21:00 4 winsub.xml
24.04.2006 21:00 63 svcp.csv
24.04.2006 21:00 15.355 winbrume.dat
24.04.2006 20:59 0 bin29a.log

16.04.2006 07:40 2.206 wpa.dbl
26.03.2006 09:33 53.608 perfc009.dat
26.03.2006 09:33 383.254 perfh009.dat
26.03.2006 09:33 394.500 perfh007.dat
26.03.2006 09:33 64.598 perfc007.dat
26.03.2006 09:33 906.552 PerfStringBackup.INI
23.03.2006 18:20 16.832 amcompat.tlb
23.03.2006 18:20 23.392 nscompat.tlb

31.01.2006 16:43 98.304 CmdLineExt.dll
18.01.2006 14:05 57.344 avsda.dll
15.01.2006 16:17 552 d3d8caps.dat
12.01.2006 16:49 319.488 lame_enc.dll
14.12.2005 21:04 28.672 f3PSSavr.scr
14.12.2005 10:24 118.784 sirenacm.dll
10.12.2005 05:16 180.224 nvuide.exe
10.12.2005 05:16 180.224 nvuaudio.exe
10.12.2005 05:16 180.224 nvusmb.exe
10.12.2005 05:16 180.224 nvumctl.exe
10.12.2005 05:16 180.224 nvuenet.exe
10.12.2005 05:16 180.224 nvugart.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D3-B0A0

Verzeichnis von C:\DOKUME~1\HELGAR~1\LOKALE~1\Temp

29.04.2006 18:17 206 jusched.log
25.02.2006 23:28 130.048 avenger.exe
31.12.2002 14:00 70.144 10901976051 --> ???
3 Datei(en) 200.398 Bytes
0 Verzeichnis(se), 2.760.445.952 Bytes frei
Dieser Beitrag wurde am 29.04.2006 um 18:57 Uhr von Rabi editiert.
Seitenanfang Seitenende
30.04.2006, 01:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Rabi

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Error Safe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

**
in: "Enter search strings" (reinschreiben oder reinkopieren)

Error Safe Free


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

-----------------------------------------------------------------------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\DOKUME~1">> files.txt
notepad files.txt
---------------------------------------------------------------------
3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\winstall.exe
C:\uniq
C:\DOKUME~1\HELGAR~1\LOKALE~1\Temp\10901976051
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\termcaps.exe
C:\WINDOWS\system32\eventwvr.exe
C:\WINDOWS\SYSTEM32\nkunpack.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\winbrume.dat
C:\WINDOWS\system32\ImaS3r
C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll (file missing)

O4 - HKLM\..\Run: [Error Safe] C:\Programme\Error Safe Free\ers.exe /scan
O4 - HKLM\..\Run: [termcaps] C:\WINDOWS\system32\termcaps.exe
O4 - HKLM\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [termcaps] C:\WINDOWS\system32\termcaps.exe
O4 - HKLM\..\RunServices: [eventwvr] C:\WINDOWS\system32\eventwvr.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [termcaps] C:\WINDOWS\system32\termcaps.exe
O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll

PC neustarten

-----------------------------
5.
aproposfix
http://swandog46.geekstogo.com/aproposfix.exe
lade aproposfix.exe

boote unbedingt in den abgesicherten Modus (F8 druecken, wenn der pC hochfaehrt)

--> klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
dann kopiere die log.txt ab.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 12:35
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,

erstmal vielen Dank für die fixe und ausführliche Antwort und Anleitung! :-)

Aber sobald ich Registry Search mit der Eingabe Error Safe starte, kommt nach einer Weile folgende Fehlermeldung:

Failed to get data for 'lock'

Dementsprechend öffnet sich auch kein Notepad etc. :-( Hast Du vielleicht eine Idee, woran DAS schon wieder liegen kann?
Seitenanfang Seitenende
30.04.2006, 14:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 es kann zu Fehlermeldungen kommen... arbeite einfach alles ab..und was nicht klappt, das klappt nicht...dann berichte und ich sehe , was ich machen kann ;)
Im Grunde empfehle ich, zu formatieren, der PC ist sehr verseucht...aber wir koennen eine Reinigung versuchen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: