Home » Spyware & Browser Hijacker Support Forum » spyware soft shop » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

spyware soft shop

01.05.2006, 14:18

xxtobsen

Member

Beiträge: 13

#1 hallo. ich hab ein kleines problem und zwar hab ich auf meinen pc 'spyware soft shop' drauf und ich bekomme es einfach nicht weg. für lösungsvorschläge wär ich sehr dankbar.

01.05.2006, 14:23

Sabina

Ehrenmitglied

Beiträge: 29434

#2 poste bitte die Logs

http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit

01.05.2006, 14:54

xxtobsen

Member

Themenstarter

Beiträge: 13

#3 Logfile of HijackThis v1.99.1
Scan saved at 14:50:23, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\taskdir.exe
C:\Programme\eMule\emule.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskdir~.exe
C:\DOKUME~1\SCHNEI~1\LOKALE~1\Temp\Rar$EX01.547\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe
O4 - HKLM\..\Run: [Software Soft Stop] C:\Program Files\Spyware Soft Stop\Spyware Soft Stop.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: s_reg - C:\WINDOWS\SYSTEM32\notifysb.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\WINDOWS\system32

01.05.2006 14:47 46.592 zlbw.dll
01.05.2006 14:47 15.001 taskdir~.exe
01.05.2006 12:01 46.592 zlbw.dll_tobedeleted
01.05.2006 11:57 13.646 wpa.dbl
01.05.2006 05:05 16 dlh9jkdq8.exe
01.05.2006 01:42 81.640 ninja.rar
01.05.2006 00:40 16.896 notifysb.dll
01.05.2006 00:24 51.248 taskdir.exe
01.05.2006 00:21 8.257 kernels8.exe
28.04.2006 23:07 16.832 amcompat.tlb
28.04.2006 23:07 23.392 nscompat.tlb
23.04.2006 10:13 383.254 perfh009.dat
23.04.2006 10:13 394.500 perfh007.dat
23.04.2006 10:13 53.608 perfc009.dat
23.04.2006 10:13 64.598 perfc007.dat
23.04.2006 10:13 906.552 PerfStringBackup.INI
23.04.2006 10:09 188.200 FNTCACHE.DAT
22.04.2006 18:37 3.223 jupdate-1.4.2_04-b05.log
22.04.2006 14:41 7.006 jupdate-1.5.0_06-b05.log
22.04.2006 14:10 13.646 wpa.bak
19.04.2006 22:09 778.240 divx_xx07.dll
19.04.2006 22:09 778.240 divx_xx0c.dll
19.04.2006 22:09 761.856 divx_xx11.dll
19.04.2006 22:09 619.156 DivX.dll
19.04.2006 18:46 0 h323log.txt
19.04.2006 17:54 261 $winnt$.inf
19.04.2006 17:52 2.951 CONFIG.NT
19.04.2006 17:51 488 logonui.exe.manifest
19.04.2006 17:51 488 WindowsLogon.manifest
19.04.2006 17:51 749 wuaucpl.cpl.manifest
19.04.2006 17:51 749 cdplayer.exe.manifest
19.04.2006 17:51 749 ncpa.cpl.manifest
19.04.2006 17:51 749 sapi.cpl.manifest
19.04.2006 17:51 749 nwc.cpl.manifest
19.04.2006 17:49 21.740 emptyregdb.dat
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 3.596.288 qt-dx331.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 90.112 dpl100.dll
19.04.2006 00:30 593.920 dpuGUI11.dll
19.04.2006 00:30 200.704 dtu100.dll
19.04.2006 00:30 344.064 dpus11.dll
19.04.2006 00:30 57.344 dpv11.dll
19.04.2006 00:30 294.912 dpu11.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 245.408 unicows.dll
19.04.2006 00:30 4.276 divxsm.tlb
19.04.2006 00:30 536.576 DivXsm.exe
19.04.2006 00:30 10.716 dsm_ja.qm
19.04.2006 00:30 15.331 dsm_de.qm
19.04.2006 00:30 15.172 dsm_fr.qm
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
10.04.2006 13:00 555.824 LegitCheckControl.DLL
09.04.2006 23:59 700.416 divxdec.ax
06.04.2006 20:15 421.888 pxdrv.dll
06.04.2006 20:15 108.544 pxcpyi64.exe
06.04.2006 20:15 109.568 pxinsi64.exe
06.04.2006 20:15 172.032 pxmas.dll
06.04.2006 20:15 372.736 px.dll
06.04.2006 20:15 61.440 pxhpinst.exe
06.04.2006 20:15 56.320 pxinsa64.exe
06.04.2006 20:15 339.968 pxwave.dll
06.04.2006 20:10 352.401 DivXMedia.ax
06.04.2006 12:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
22.03.2006 02:38 12.288 DivXWMPExtType.dll
22.03.2006 02:38 8.523 dpude.qm
22.03.2006 02:38 3.136 dtu_de.qm

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\DOKUME~1\SCHNEI~1\LOKALE~1\Temp

01.05.2006 14:57 3.757 jusched.log
01.05.2006 14:49 16.384 ~DF1412.tmp
01.05.2006 14:48 216.436 1BBB.tmp
01.05.2006 14:47 16.384 ~DFF79.tmp
01.05.2006 14:47 512 ~DF9672.tmp
01.05.2006 14:47 16.384 ~DF9666.tmp
01.05.2006 14:47 32.768 ~DF2E5.tmp
01.05.2006 14:40 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}13229.html
01.05.2006 14:38 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15559.html
01.05.2006 13:55 216.436 CA6F.tmp
01.05.2006 13:54 16.384 ~DF966.tmp
01.05.2006 13:53 16.384 ~DF36D.tmp
01.05.2006 13:53 32.768 ~DF369.tmp
01.05.2006 13:47 32.768 ~DF1D80.tmp
01.05.2006 13:25 32.768 ~DF313.tmp
01.05.2006 12:01 32.768 ~DFB95.tmp
01.05.2006 11:41 2.727 java_install_reg.log
01.05.2006 11:27 16.384 ~DFA37E.tmp
01.05.2006 11:27 16.384 ~DF8965.tmp
01.05.2006 05:15 32.768 ~DFB5.tmp
01.05.2006 05:14 8.857 temp.fr2AFF
01.05.2006 05:04 32.768 ~DFF57A.tmp
01.05.2006 01:42 216.436 BBF9.tmp
01.05.2006 00:25 6.183 6E.tmp
01.05.2006 00:24 6.183 6A.tmp
01.05.2006 00:21 8.257 ~60508041.tmp
29.04.2006 22:49 0 aax34.tmp
29.04.2006 22:49 0 aax33.tmp
29.04.2006 22:49 0 aax32.tmp
29.04.2006 22:41 0 aax31.tmp
29.04.2006 22:39 604.311 gtb2E.tmp
29.04.2006 22:37 0 aax6.tmp
29.04.2006 16:19 32.768 ~DFFE.tmp
29.04.2006 13:37 16.384 ~DF1E7F.tmp
29.04.2006 13:37 16.384 ~DF15B3.tmp
29.04.2006 13:37 32.768 ~DFFF60.tmp
28.04.2006 23:07 16.384 ~DF1701.tmp
28.04.2006 23:07 16.384 ~DF405E.tmp
28.04.2006 23:07 32.768 ~DF12A4.tmp
28.04.2006 22:10 0 ACD22.tmp
28.04.2006 22:03 147.456 ~DFA02A.tmp
28.04.2006 18:17 32.768 ~DFC23.tmp
28.04.2006 18:12 16.384 ~DF1662.tmp
28.04.2006 18:12 16.384 ~DFAA8.tmp
28.04.2006 18:12 32.768 ~DFCBC3.tmp
26.04.2006 17:51 283 wahtmltmp00.htm
26.04.2006 17:50 32.768 ~DFE0DB.tmp
26.04.2006 06:38 32.768 ~DFD862.tmp
25.04.2006 21:56 687 TWAIN.LOG
25.04.2006 21:56 0 Twunk002.MTX
25.04.2006 21:56 2 Twain001.Mtx
25.04.2006 21:56 156 Twunk001.MTX
25.04.2006 21:56 84 dw.log
24.04.2006 21:02 557.056 ~DF87A8.tmp
23.04.2006 12:32 13.878 ICQ5.tmp
23.04.2006 12:32 5.085 ICQ4.tmp
23.04.2006 10:10 32.768 ~DFAD8A.tmp
22.04.2006 23:18 7.902 ICQ463.tmp
22.04.2006 23:18 3.211 ICQ462.tmp
22.04.2006 21:04 32.768 ~DF7F0A.tmp
22.04.2006 20:48 16.384 ~DF79CC.tmp
22.04.2006 20:00 9.654 Microsoft Office 2003 Setup(0003).txt
22.04.2006 20:00 442.572 Microsoft Office 2003 Setup(0003)_Task(0001).txt
22.04.2006 19:57 49.346 offcln11.log
22.04.2006 18:36 47.503 java_install.log
22.04.2006 18:36 143.872 154d21.mst
22.04.2006 18:24 939 jupdate1.5.0.xml
22.04.2006 18:14 32.768 ~DFFE13.tmp
22.04.2006 14:49 604.311 gtb82.tmp.cab
22.04.2006 14:49 0 gtb82.tmp
22.04.2006 14:45 301.904 azplugins_2.0.jar
22.04.2006 14:45 786 AZU19533.tmp
22.04.2006 14:39 955 jinstall.cfg
22.04.2006 14:37 9.898 Microsoft Office 2003 Setup(0002).txt
22.04.2006 14:37 153.308 Microsoft Office 2003 Setup(0002)_Task(0001).txt
22.04.2006 14:17 16.384 ~DFA85D.tmp
22.04.2006 14:17 16.384 ~DF9EE0.tmp
22.04.2006 14:08 9.820 Microsoft Office 2003 Setup(0001).txt
22.04.2006 14:08 153.998 Microsoft Office 2003 Setup(0001)_Task(0001).txt
22.04.2006 14:03 32.768 ~DF8AB6.tmp
20.04.2006 09:47 2.270 dotNetFx.log
20.04.2006 09:46 2.963.928 netfx.log
20.04.2006 09:46 7.228 ASPNETSetup.log
22.03.2006 12:01 127.082 GLF2BGLF2B.EXE
05.03.2006 15:24 88.576 27a34e0.mst
05.03.2006 15:24 88.576 319d224.mst
02.03.2006 17:46 650.920 gtb2k1031.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\WINDOWS

01.05.2006 14:48 111 sss_main.ini
01.05.2006 14:46 0 0.log
01.05.2006 14:46 607.621 WindowsUpdate.log
01.05.2006 14:46 2.048 bootstat.dat
01.05.2006 14:46 4.776 SchedLgU.Txt
01.05.2006 14:36 473.910 setupapi.log
01.05.2006 05:03 282 system.ini
29.04.2006 23:25 116 NeroDigital.ini
29.04.2006 13:37 1.830 spupdsvc.log
29.04.2006 12:18 48.770 wmsetup.log
29.04.2006 12:15 14.142 KB911565.log
28.04.2006 23:07 1.128 wmsetup10.log
28.04.2006 22:06 1.541 discwriter.log
28.04.2006 22:06 0 OrangeBurn.log
28.04.2006 18:15 316.640 WMSysPr9.prx
28.04.2006 18:07 180.460 setupact.log
27.04.2006 22:08 573 win.ini
25.04.2006 22:23 50 wiaservc.log
25.04.2006 22:23 2.013 wiadebug.log
25.04.2006 22:21 101.802 comsetup.log
25.04.2006 22:21 42.615 iis6.log
25.04.2006 22:21 107.404 tsoc.log
25.04.2006 22:21 1.374 imsins.log
25.04.2006 22:21 15.249 ocmsn.log
25.04.2006 22:21 59.897 ntdtcsetup.log
25.04.2006 22:21 24.145 KB900485.log
25.04.2006 22:21 13.849 msgsocm.log
25.04.2006 22:21 137.157 ocgen.log
25.04.2006 22:21 271.210 FaxSetup.log
24.04.2006 20:52 0 ump.INI
24.04.2006 20:48 115.673 GXTranscoder v2 Uninstaller.exe
23.04.2006 21:57 169 RtlRack.ini
22.04.2006 20:00 400 ODBC.INI
22.04.2006 18:32 1.374 imsins.BAK

22.04.2006 14:10 821.656 setuplog.txt
22.04.2006 14:02 247 accessdll.log
22.04.2006 14:02 319 accessdll1.log
22.04.2006 13:59 105 avmsysnet.log
22.04.2006 13:57 1.477 avmadd32.log
20.04.2006 09:47 1.454 COM+.log
19.04.2006 18:45 0 Sti_Trace.log
19.04.2006 18:42 1.348 regopt.log
19.04.2006 18:41 0 setuperr.log
19.04.2006 17:57 829 OEWABLog.txt
19.04.2006 17:55 8.192 REGLOCS.OLD
19.04.2006 17:52 0 control.ini
19.04.2006 17:52 4.161 ODBCINST.INI
19.04.2006 17:51 749 WindowsShell.Manifest
19.04.2006 17:49 36 vb.ini
19.04.2006 17:49 37 vbaddin.ini
19.04.2006 17:49 133 DtcInstall.log
19.04.2006 17:49 1.023 sessmgr.setup.log
19.04.2006 17:47 200 cmsetacl.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\

01.05.2006 15:03 0 sys.txt
01.05.2006 15:03 7.489 system.txt
01.05.2006 15:02 5.615 systemtemp.txt
01.05.2006 15:00 92.152 system32.txt
01.05.2006 14:46 535.351.296 hiberfil.sys
01.05.2006 14:46 805.306.368 pagefile.sys
01.05.2006 01:42 39.520 remadm32.dll
01.05.2006 00:23 553 list
23.04.2006 00:08 165 FmDatabase.xml
20.04.2006 09:38 210 boot.ini
19.04.2006 17:52 0 CONFIG.SYS
19.04.2006 17:52 0 IO.SYS
19.04.2006 17:52 0 MSDOS.SYS
19.04.2006 17:52 0 AUTOEXEC.BAT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
17 Datei(en) 1.341.107.068 Bytes
0 Verzeichnis(se), 17.589.956.608 Bytes frei

Dieser Beitrag wurde am 01.05.2006 um 15:04 Uhr von xxtobsen editiert.

01.05.2006, 17:35

Sabina

Ehrenmitglied

Beiträge: 29434

#4 xxtobsen

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Software Soft Stop

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
--------

2.
RootkitRevealer -> poste den scanreport
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

01.05.2006, 17:53

Sabina

Ehrenmitglied

Beiträge: 29434

#5 xxtobsen

Gehe in die Registry
Start - Ausfuehren - regedit

bearbeiten - suchen - Soft Stop

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Soft Stop_is1 --> loeschen

-----------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\taskdir~.exe
C:\WINDOWS\system32\zlbw.dll_tobedeleted
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\ninja.rar
C:\WINDOWS\system32\notifysb.dll
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\kernels8.exe
C:\Windows\xpupdate.exe
C:\Windows\sss_main.ini
C:\web.exe
C:\remadm32.dll
C:\list
C:\WINDOWS\inet20001\winlogon.exe
C:\WINDOWS\inet20001\services.exe
C:\WINDOWS\inet20001\mm4.exe
C:\WINDOWS\inet20001\mm4.exe.bak

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe
O4 - HKLM\..\Run: [Software Soft Stop] C:\Program Files\Spyware Soft Stop\Spyware Soft Stop.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O20 - Winlogon Notify: s_reg - C:\WINDOWS\SYSTEM32\notifysb.dll

PC neustarten

**
Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:\

**
deinstalliere -> Soft Stop

**
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

**
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

**
(und die Logs, um die ich gebeten hatte)
damit die Registry auch gereinigt wird ....
http://virus-protect.org/artikel/spyware/spyware_soft_stop.html

**
__________
MfG Sabina

rund um die PC-Sicherheit

02.05.2006, 17:18

xxtobsen

Member

Themenstarter

Beiträge: 13

#6 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 02.05.2006 17:02:30 for strings:
; 'spyware soft shop'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

Gehe in die Registry
Start - Ausfuehren - regedit

bearbeiten - suchen - Soft Stop

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Soft Stop_is1 gibs bei mir nicht

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gxumsraf

*******************

Script file located at: \??\C:\WINDOWS\system32\icimvwvu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\zlbw.dll not found!
Deletion of file C:\WINDOWS\system32\zlbw.dll failed!

Could not process line:
C:\WINDOWS\system32\zlbw.dll
Status: 0xc0000034

File C:\WINDOWS\system32\taskdir~.exe not found!
Deletion of file C:\WINDOWS\system32\taskdir~.exe failed!

Could not process line:
C:\WINDOWS\system32\taskdir~.exe
Status: 0xc0000034

File C:\WINDOWS\system32\zlbw.dll_tobedeleted not found!
Deletion of file C:\WINDOWS\system32\zlbw.dll_tobedeleted failed!

Could not process line:
C:\WINDOWS\system32\zlbw.dll_tobedeleted
Status: 0xc0000034

File C:\WINDOWS\system32\dlh9jkdq8.exe not found!
Deletion of file C:\WINDOWS\system32\dlh9jkdq8.exe failed!

Could not process line:
C:\WINDOWS\system32\dlh9jkdq8.exe
Status: 0xc0000034

File C:\WINDOWS\system32\ninja.rar not found!
Deletion of file C:\WINDOWS\system32\ninja.rar failed!

Could not process line:
C:\WINDOWS\system32\ninja.rar
Status: 0xc0000034

File C:\WINDOWS\system32\notifysb.dll not found!
Deletion of file C:\WINDOWS\system32\notifysb.dll failed!

Could not process line:
C:\WINDOWS\system32\notifysb.dll
Status: 0xc0000034

File C:\WINDOWS\system32\taskdir.exe not found!
Deletion of file C:\WINDOWS\system32\taskdir.exe failed!

Could not process line:
C:\WINDOWS\system32\taskdir.exe
Status: 0xc0000034

File C:\WINDOWS\system32\kernels8.exe not found!
Deletion of file C:\WINDOWS\system32\kernels8.exe failed!

Could not process line:
C:\WINDOWS\system32\kernels8.exe
Status: 0xc0000034

File C:\Windows\xpupdate.exe not found!
Deletion of file C:\Windows\xpupdate.exe failed!

Could not process line:
C:\Windows\xpupdate.exe
Status: 0xc0000034

File C:\Windows\sss_main.ini not found!
Deletion of file C:\Windows\sss_main.ini failed!

Could not process line:
C:\Windows\sss_main.ini
Status: 0xc0000034

File C:\web.exe not found!
Deletion of file C:\web.exe failed!

Could not process line:
C:\web.exe
Status: 0xc0000034

File C:\remadm32.dll not found!
Deletion of file C:\remadm32.dll failed!

Could not process line:
C:\remadm32.dll
Status: 0xc0000034

File C:\list not found!
Deletion of file C:\list failed!

Could not process line:
C:\list
Status: 0xc0000034

Could not open file C:\WINDOWS\inet20001\winlogon.exe for deletion
Deletion of file C:\WINDOWS\inet20001\winlogon.exe failed!

Could not process line:
C:\WINDOWS\inet20001\winlogon.exe
Status: 0xc000003a

Could not open file C:\WINDOWS\inet20001\services.exe for deletion
Deletion of file C:\WINDOWS\inet20001\services.exe failed!

Could not process line:
C:\WINDOWS\inet20001\services.exe
Status: 0xc000003a

Could not open file C:\WINDOWS\inet20001\mm4.exe for deletion
Deletion of file C:\WINDOWS\inet20001\mm4.exe failed!

Could not process line:
C:\WINDOWS\inet20001\mm4.exe
Status: 0xc000003a

Could not open file C:\WINDOWS\inet20001\mm4.exe.bak for deletion
Deletion of file C:\WINDOWS\inet20001\mm4.exe.bak failed!

Could not process line:
C:\WINDOWS\inet20001\mm4.exe.bak
Status: 0xc000003a

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3} failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

Dieser Beitrag wurde am 02.05.2006 um 21:32 Uhr von xxtobsen editiert.

03.05.2006, 00:33

Sabina

Ehrenmitglied

Beiträge: 29434

#7 so so ...alles daneben gegangen....
poste bitte aufs neue die 4 Logs von datfindbat
+
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

03.05.2006, 06:48

xxtobsen

Member

Themenstarter

Beiträge: 13

#8 was für ein datfinbat

03.05.2006, 10:38

Sabina

Ehrenmitglied

Beiträge: 29434

Zitat

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit

03.05.2006, 17:07

xxtobsen

Member

Themenstarter

Beiträge: 13

#10 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\WINDOWS\system32

02.05.2006 21:20 2.042.315 XO
02.05.2006 16:57 13.646 wpa.dbl
28.04.2006 23:07 16.832 amcompat.tlb
28.04.2006 23:07 23.392 nscompat.tlb
23.04.2006 10:13 383.254 perfh009.dat
23.04.2006 10:13 64.598 perfc007.dat
23.04.2006 10:13 53.608 perfc009.dat
23.04.2006 10:13 394.500 perfh007.dat
23.04.2006 10:13 906.552 PerfStringBackup.INI
23.04.2006 10:09 188.200 FNTCACHE.DAT
22.04.2006 18:37 3.223 jupdate-1.4.2_04-b05.log
22.04.2006 14:41 7.006 jupdate-1.5.0_06-b05.log
22.04.2006 14:10 13.646 wpa.bak
19.04.2006 22:09 778.240 divx_xx07.dll
19.04.2006 22:09 778.240 divx_xx0c.dll
19.04.2006 22:09 761.856 divx_xx11.dll
19.04.2006 22:09 619.156 DivX.dll
19.04.2006 18:46 0 h323log.txt
19.04.2006 17:54 261 $winnt$.inf
19.04.2006 17:52 2.951 CONFIG.NT
19.04.2006 17:51 488 logonui.exe.manifest
19.04.2006 17:51 488 WindowsLogon.manifest
19.04.2006 17:51 749 sapi.cpl.manifest
19.04.2006 17:51 749 cdplayer.exe.manifest
19.04.2006 17:51 749 ncpa.cpl.manifest
19.04.2006 17:51 749 nwc.cpl.manifest
19.04.2006 17:51 749 wuaucpl.cpl.manifest
19.04.2006 17:49 21.740 emptyregdb.dat
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 3.596.288 qt-dx331.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 90.112 dpl100.dll
19.04.2006 00:30 593.920 dpuGUI11.dll
19.04.2006 00:30 200.704 dtu100.dll
19.04.2006 00:30 344.064 dpus11.dll
19.04.2006 00:30 57.344 dpv11.dll
19.04.2006 00:30 294.912 dpu11.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 245.408 unicows.dll
19.04.2006 00:30 4.276 divxsm.tlb
19.04.2006 00:30 536.576 DivXsm.exe
19.04.2006 00:30 10.716 dsm_ja.qm
19.04.2006 00:30 15.331 dsm_de.qm
19.04.2006 00:30 15.172 dsm_fr.qm
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
10.04.2006 13:00 555.824 LegitCheckControl.DLL
09.04.2006 23:59 700.416 divxdec.ax
06.04.2006 20:15 421.888 pxdrv.dll
06.04.2006 20:15 108.544 pxcpyi64.exe
06.04.2006 20:15 109.568 pxinsi64.exe
06.04.2006 20:15 172.032 pxmas.dll
06.04.2006 20:15 372.736 px.dll
06.04.2006 20:15 61.440 pxhpinst.exe
06.04.2006 20:15 56.320 pxinsa64.exe
06.04.2006 20:15 339.968 pxwave.dll
06.04.2006 20:10 352.401 DivXMedia.ax
06.04.2006 12:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
22.03.2006 02:38 12.288 DivXWMPExtType.dll
22.03.2006 02:38 8.523 dpude.qm
22.03.2006 02:38 3.136 dtu_de.qm
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\DOKUME~1\SCHNEI~1\LOKALE~1\Temp

03.05.2006 13:51 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}5756.html
02.05.2006 22:15 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}26116.html
02.05.2006 21:51 32.768 ~DF1BCF.tmp
02.05.2006 21:34 612 jusched.log
02.05.2006 21:24 16.384 ~DFF90D.tmp
02.05.2006 21:24 512 ~DFFACA.tmp
02.05.2006 21:24 32.768 ~DF7AF.tmp
02.05.2006 21:12 16.384 ~DF4F2.tmp
02.05.2006 21:12 16.384 ~DFFE45.tmp
02.05.2006 17:31 32.768 ~DFEB0.tmp
02.05.2006 17:27 16.384 ~DF38E.tmp
02.05.2006 17:27 16.384 ~DFBC4.tmp
02.05.2006 17:26 32.768 ~DFF3AB.tmp
02.05.2006 17:21 16.384 ~DF2346.tmp
02.05.2006 17:21 16.384 ~DF8440.tmp
02.05.2006 17:21 32.768 ~DF2E10.tmp
02.05.2006 16:58 16.384 ~DF7178.tmp
02.05.2006 16:58 16.384 ~DFEBC7.tmp
02.05.2006 16:58 32.768 ~DF7127.tmp
01.05.2006 16:08 216.436 DD32.tmp
01.05.2006 16:05 16.384 ~DF9C5C.tmp
01.05.2006 16:05 16.384 ~DF518F.tmp
01.05.2006 16:05 32.768 ~DFC30F.tmp
01.05.2006 16:03 216.436 4939.tmp
01.05.2006 16:02 216.436 5F47.tmp
01.05.2006 16:01 216.436 74C7.tmp
01.05.2006 16:00 216.436 8AB5.tmp
01.05.2006 15:59 216.436 A055.tmp
01.05.2006 15:58 216.436 D5F1.tmp
01.05.2006 15:57 216.436 CC70.tmp
01.05.2006 15:56 216.436 E164.tmp
01.05.2006 15:55 216.436 F649.tmp
01.05.2006 15:54 216.436 B0E.tmp
33 Datei(en) 2.793.481 Bytes
0 Verzeichnis(se), 18.946.277.376 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\WINDOWS

02.05.2006 21:29 180.520 setupact.log
02.05.2006 21:24 0 0.log
02.05.2006 21:24 639.450 WindowsUpdate.log
02.05.2006 21:24 2.048 bootstat.dat
02.05.2006 21:24 6.072 SchedLgU.Txt
02.05.2006 17:29 1.356 qvsrdakl.txt
01.05.2006 14:36 473.910 setupapi.log
01.05.2006 05:03 282 system.ini
29.04.2006 23:25 116 NeroDigital.ini
29.04.2006 13:37 1.830 spupdsvc.log
29.04.2006 12:18 48.770 wmsetup.log
29.04.2006 12:15 14.142 KB911565.log
28.04.2006 23:07 1.128 wmsetup10.log
28.04.2006 22:06 1.541 discwriter.log
28.04.2006 22:06 0 OrangeBurn.log
28.04.2006 18:15 316.640 WMSysPr9.prx
27.04.2006 22:08 573 win.ini
25.04.2006 22:23 50 wiaservc.log
25.04.2006 22:23 2.013 wiadebug.log
25.04.2006 22:21 101.802 comsetup.log
25.04.2006 22:21 42.615 iis6.log
25.04.2006 22:21 59.897 ntdtcsetup.log
25.04.2006 22:21 107.404 tsoc.log
25.04.2006 22:21 15.249 ocmsn.log
25.04.2006 22:21 1.374 imsins.log
25.04.2006 22:21 24.145 KB900485.log
25.04.2006 22:21 137.157 ocgen.log
25.04.2006 22:21 13.849 msgsocm.log
25.04.2006 22:21 271.210 FaxSetup.log
24.04.2006 20:52 0 ump.INI
24.04.2006 20:48 115.673 GXTranscoder v2 Uninstaller.exe
23.04.2006 21:57 169 RtlRack.ini
22.04.2006 20:00 400 ODBC.INI
22.04.2006 18:32 1.374 imsins.BAK
22.04.2006 18:32 34.528 KB899587.log
22.04.2006 18:32 16.450 updspapi.log
22.04.2006 18:32 33.642 KB896422.log
22.04.2006 18:32 34.514 KB908531.log
22.04.2006 18:32 33.501 KB885835.log
22.04.2006 18:32 32.375 KB885836.log
22.04.2006 18:32 33.194 KB885250.log
22.04.2006 18:32 33.317 KB911927.log
22.04.2006 18:31 32.813 KB901017.log
22.04.2006 18:31 33.131 KB899591.log
22.04.2006 18:31 33.322 KB896424.log
22.04.2006 18:31 33.317 KB893756.log
22.04.2006 18:31 32.263 KB911562.log
22.04.2006 18:31 29.815 KB896423.log
22.04.2006 18:31 30.209 KB873339.log
22.04.2006 18:31 30.272 KB888113.log
22.04.2006 18:31 30.817 KB887742.log
22.04.2006 18:31 30.215 KB887472.log
22.04.2006 18:31 31.862 KB896358.log
22.04.2006 18:31 25.193 KB910437.log
22.04.2006 18:30 21.797 KB911564.log
22.04.2006 18:30 29.291 KB891781.log
22.04.2006 18:30 33.884 KB912812.log
22.04.2006 18:30 31.190 KB902400.log
22.04.2006 18:30 21.854 KB890046.log
22.04.2006 18:30 21.117 KB905414.log
22.04.2006 18:30 20.115 KB901214.log
22.04.2006 18:29 19.504 KB888302.log
22.04.2006 18:29 21.259 KB900725.log
22.04.2006 18:29 18.387 KB912919.log
22.04.2006 18:29 12.564 KB886185.log
22.04.2006 18:29 17.573 KB904706.log
22.04.2006 18:29 18.187 KB905749.log
22.04.2006 18:29 16.975 KB896428.log
22.04.2006 18:29 17.668 KB911567.log
22.04.2006 18:28 17.663 KB894391.log
22.04.2006 18:28 15.373 KB908519.log
22.04.2006 18:28 11.540 KB913446.log
22.04.2006 18:28 17.811 KB890859.log
22.04.2006 15:00 7.954 KB893803v2.log
22.04.2006 15:00 8.190 KB898461.log
22.04.2006 14:10 821.656 setuplog.txt
22.04.2006 14:02 247 accessdll.log
22.04.2006 14:02 319 accessdll1.log
22.04.2006 13:59 105 avmsysnet.log
22.04.2006 13:57 1.477 avmadd32.log
20.04.2006 09:47 1.454 COM+.log
19.04.2006 18:45 0 Sti_Trace.log
19.04.2006 18:42 1.348 regopt.log
19.04.2006 18:41 0 setuperr.log
19.04.2006 17:57 829 OEWABLog.txt
19.04.2006 17:55 8.192 REGLOCS.OLD
19.04.2006 17:52 0 control.ini
19.04.2006 17:52 4.161 ODBCINST.INI
19.04.2006 17:51 749 WindowsShell.Manifest
19.04.2006 17:49 36 vb.ini
19.04.2006 17:49 37 vbaddin.ini
19.04.2006 17:49 133 DtcInstall.log
19.04.2006 17:49 1.023 sessmgr.setup.log
19.04.2006 17:47 200 cmsetacl.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FE22-3EE1

Verzeichnis von C:\

03.05.2006 17:07 0 sys.txt
03.05.2006 17:06 7.351 system.txt
03.05.2006 17:06 1.921 systemtemp.txt
03.05.2006 17:05 91.791 system32.txt
02.05.2006 21:24 7.974 avenger.txt
02.05.2006 21:24 535.351.296 hiberfil.sys
02.05.2006 21:24 805.306.368 pagefile.sys
20.04.2006 09:38 210 boot.ini
19.04.2006 17:52 0 CONFIG.SYS
19.04.2006 17:52 0 MSDOS.SYS
19.04.2006 17:52 0 IO.SYS
19.04.2006 17:52 0 AUTOEXEC.BAT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
15 Datei(en) 1.341.070.611 Bytes
0 Verzeichnis(se), 18.946.265.088 Bytes frei

03.05.2006, 21:10

Sabina

Ehrenmitglied

Beiträge: 29434

#11 RootkitRevealer -> poste den scanreport
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

03.05.2006, 21:42

xxtobsen

Member

Themenstarter

Beiträge: 13

#12 HKLM\S-1-5-21-1454471165-1844823847-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU

:\Qbxhzragr haq Rvafgryyhatra\Fpuarvqref\Qrfxgbc\Arhre Beqare\- Areb Oheavat Ebz 6. 03.05.2006 21:29 16 bytes Hidden from Windows API.

HKLM\S-1-5-21-1454471165-1844823847-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU

:\Qbxhzragr haq Rvafgryyhatra\Fpuarvqref\Qrfxgbc\Arhre Beqare\- Areb Oheavat Ebz 6. 03.05.2006 21:29 16 bytes Hidden from Windows API.

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 03.05.2006 21:32 80 bytes Data mismatch between Windows API and raw hive data.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DF99E9.tmp 03.05.2006 21:34 256.00 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ\index[9].htm 03.05.2006 21:35 36.93 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ\search[4].htm 03.05.2006 21:35 18.47 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\blink-182[1].htm 03.05.2006 21:35 18.99 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\CA052ZA1.htm 03.05.2006 21:35 3.60 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\index[12].htm 03.05.2006 21:14 18.68 KB Visible in Windows API, but not in MFT or directory index.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\plus-44[1].htm 03.05.2006 21:14 633 bytes Visible in Windows API, but not in MFT or directory index.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7\CAE7OHEV.htm 03.05.2006 21:35 3.84 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7\cddb[2].1939&proto=5 03.05.2006 21:34 36 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7\index[14].htm 03.05.2006 21:35 18.68 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV\blink-182[1].htm 03.05.2006 21:14 19.34 KB Visible in Windows API, but not in MFT or directory index.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV\plus-44[1].htm 03.05.2006 21:35 633 bytes Hidden from Windows API.

C:\System Volume Information\_restore{02139554-C75C-40D8-8B8F-B7FCEF499718}\RP28\A0004784.exe 01.05.2006 00:23 3.00 KB Visible in Windows API, but not in MFT or directory index.

03.05.2006, 21:54

Sabina

Ehrenmitglied

Beiträge: 29434

#13 1.
wende noch mal den CleanUp an (noch nicht neustarten)
http://virus-protect.org/cleanup.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\S-1-5-21-1454471165-1844823847-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}

Files to delete:
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:\ -> bitte posten

dann scanne noch mal mit dem Rootkitrevealer
__________
MfG Sabina

rund um die PC-Sicherheit

03.05.2006, 22:01

xxtobsen

Member

Themenstarter

Beiträge: 13

#14 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\{75048700-EF1F-11D0-9888-006097DEACF9}

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\minjvcct

*******************

Script file located at: \??\C:\WINDOWS\emqktnco.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Error: C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ is a folder, not a file!
Deletion of file C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ failed!

Could not process line:
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ
Status: 0xc00000ba

Error: C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ is a folder, not a file!
Deletion of file C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ failed!

Could not process line:
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ
Status: 0xc00000ba

Error: C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7 is a folder, not a file!
Deletion of file C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7 failed!

Could not process line:
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7
Status: 0xc00000ba

Error: C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV is a folder, not a file!
Deletion of file C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV failed!

Could not process line:
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV
Status: 0xc00000ba

Completed script processing.

*******************

Finished! Terminate.

HKLM\S-1-5-21-1454471165-1844823847-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU

:\Qbxhzragr haq Rvafgryyhatra\Fpuarvqref\Qrfxgbc\Arhre Beqare\- Areb Oheavat Ebz 6. 03.05.2006 22:00 16 bytes Hidden from Windows API.

HKLM\S-1-5-21-1454471165-1844823847-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU

:\Qbxhzragr haq Rvafgryyhatra\Fpuarvqref\Qrfxgbc\Arhre Beqare\- Areb Oheavat Ebz 6. 03.05.2006 22:00 16 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Anwendungsdaten\ICQLite\Bartcache\233387330\Temp\ICQTempFile17771.tmp 03.05.2006 22:05 5.23 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Anwendungsdaten\ICQLite\Bartcache\233387330\Temp\ICQTempFile30365.tmp 03.05.2006 22:05 5.23 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Anwendungsdaten\ICQLite\Bartcache\233387330\Temp\ICQTempFile31217.tmp 03.05.2006 22:05 4.79 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}18103.html 03.05.2006 22:06 978 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA024.tmp 03.05.2006 22:05 16.00 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA032.tmp 03.05.2006 22:05 512 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA043.tmp 03.05.2006 22:05 16.00 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA052.tmp 03.05.2006 22:05 512 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA063.tmp 03.05.2006 22:05 16.00 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA072.tmp 03.05.2006 22:05 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA082.tmp 03.05.2006 22:05 16.00 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temp\~DFA13C.tmp 03.05.2006 22:05 512 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XETL476\aol[1].swf 03.05.2006 22:05 22.13 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAEC1231\aol[1].swf 03.05.2006 22:06 15.64 KB Hidden from Windows API.

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 03.05.2006 22:01 64.00 KB Visible in Windows API, but not in MFT or directory index.

Dieser Beitrag wurde am 03.05.2006 um 22:10 Uhr von xxtobsen editiert.

03.05.2006, 22:08

Sabina

Ehrenmitglied

Beiträge: 29434

#15 noch mal neu:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\S-1-5-21-1454471165-1844823847-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}

Files to delete:
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ\index[9].htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITYV61SJ\search[4].htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\blink-182[1].htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\CA052ZA1.htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\index[12].htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1I7CHAJ\plus-44[1].htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7\CAE7OHEV.htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7\cddb[2].1939&proto=5
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTMNGTM7\index[14].htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV\blink-182[1].htm
C:\Dokumente und Einstellungen\Schneiders\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0A714CV\plus-44[1].htm

__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2