Tr/Click.526 - Tr/Small.Kg

#0
11.05.2006, 17:52
...neu hier

Beiträge: 6
#1 hallo, ich habe mir am dienstag scheinbar einen trojaner eingefangen und bin durch suchen auf dieses forum gestoßen. Da es mir sehr zuverlässig erscheint würde ich mich über ein wenig hilfe sehr freuen ;)

zunächst äußerte sich das problem darin das mein internet explorer einfach abstürzte und auch nach erneutem starten immer direkt der windows eigene "Problembericht senden" pop-up erscheint. ebenso verhält es sich nach einer gewissen zeit nach aufrufen des Arbeitsplatzes oder bessergesagt der Partition C:
mir ist auch aufgefallen das auf einmal eine datei namens "UnSpyPC Scanner & Monitor" auf meinem desktop vorhanden ist und eine toolbar im internetexplorer die ich eigentlich zu keinem zeitpunkt istalliert habe (eventuell im zusammenhang mit trojaner?)

vielleicht sollte ich erwähnen das ich im umgang mit pc's nicht unbedingt der erfahrenste bin daher wäre es sehr nett wenn es möglichst einfach erklärt werden könnte.. sofern es möglich ist und nicht zu große umstände macht.
vielen dank schon mal.. hoff ich ma auf das beste *g*

achso fast vergessen... ich habe bereits antivir laufen lassen, antivir stoppte am dienstag aber bei ca. 23% der Suche und sprang direkt auf 100% und tat nichts mehr weiter, erwähnenswert ist dabei vielleicht das es dies 3 weitere male tat und immer bei der datei "newwindow[1].gif ...könnte das vielleicht was bedeuten? Beim Pc Neustart aber hat antivir dann einmal die Virenmeldung für Tr/click.526 gemacht und ein anderes mal nach dem neustart kam Tr/click.small.kg (ich hab es dieses mal nur in den quarantäne ordner verschoben..). Die Windowseigene Suche bricht auch nach einiger zeit ab wenn ich versuche nach daten manuell zu suchen.
Der Computer hängt im netzwerk und es wurden bereits von einem anderen computer einmal alle temporären dateien gelöscht.
Das wärs dann wohl im wesentlichen, ich hoffe man kann das irgendwie hinbekommen, habe im nachfolgenden mal die HJT und datfind.bat logs.. ich hoffe auch richtig, habe zuvor noch nie damit gearbeitet ;)



Logfile of HijackThis v1.99.1
Scan saved at 17:28:38, on 11.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\BarrMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Gege\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Barricade-Monitor] C:\WINDOWS\BarrMon.exe "NoSound"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O15 - Trusted Zone: http://tears-of-angel.4sub.de
O15 - Trusted Zone: http://www.monstersgame.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gerrit
O17 - HKLM\Software\..\Telephony: DomainName = gerrit
O17 - HKLM\System\CCS\Services\Tcpip\..\{55E3661D-DD3F-410A-8CB2-E30A580C7161}: NameServer = 85.255.115.94,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E245DC4-4111-4BAC-9A5E-65880BB23AE9}: NameServer = 85.255.115.94,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BFA25AC-D892-41DC-AD3B-6B7F215C76F4}: NameServer = 85.255.115.94,85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gerrit
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Verzeichnis von C:\WINDOWS\system32

11.05.2006 16:39 4.452 nvapps.xml
11.05.2006 16:38 35.936 vsconfig.xml
09.05.2006 23:55 155.648 wmejp.dll
27.03.2006 08:31 234.368 FNTCACHE.DAT
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 19:46 2.836.320 MRT.exe
04.01.2006 05:37 64.000 SET12.tmp
02.01.2006 23:38 260.608 gdi32.dll
19.12.2005 19:30 4.730.880 wmp.dll
10.12.2005 20:59 1.158 wpa.dbl
25.11.2005 10:46 4.212 zllictbl.dat
22.11.2005 17:39 2.700.288 MSHTML.DLL
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll


Verzeichnis von C:\DOKUME~1\Gege\LOKALE~1\Temp

11.05.2006 16:51 2 Twain001.Mtx
11.05.2006 16:51 0 TWAIN.LOG
11.05.2006 16:39 0 WER2.tmp
11.05.2006 16:39 16.384 ~DFCA3A.tmp
11.05.2006 16:39 16.384 ~DF58EF.tmp
11.05.2006 16:39 512 ~DF58FE.tmp
11.05.2006 16:39 218 jusched.log
10.05.2006 22:46 16.384 ~DF54D8.tmp
10.05.2006 22:46 16.384 ~DF6E46.tmp
10.05.2006 22:29 16.384 ~DF321E.tmp
10.05.2006 22:29 16.384 ~DFEEB1.tmp
31.01.2006 03:43 9.402.056 BIT2.tmp
12 Datei(en) 9.501.092 Bytes
0 Verzeichnis(se), 1.321.566.208 Bytes frei



11.05.2006 17:37 107 BarrMon.err
11.05.2006 16:41 1.286.863 WindowsUpdate.log
11.05.2006 16:41 342.070 ocgen.log
11.05.2006 16:41 11.998 KB911927.log
11.05.2006 16:41 1.374 imsins.log
11.05.2006 16:41 23.232 ocmsn.log
11.05.2006 16:41 32.262 msgsocm.log
11.05.2006 16:41 450.625 setupapi.log
11.05.2006 16:41 21.787 updspapi.log
11.05.2006 16:41 254.972 tsoc.log
11.05.2006 16:41 137.422 ntdtcsetup.log
11.05.2006 16:41 227.638 comsetup.log
11.05.2006 16:41 102.000 iis6.log
11.05.2006 16:41 647.110 FaxSetup.log
11.05.2006 16:41 5.103 KB914798.log
11.05.2006 16:41 340.580 wmsetup.log
11.05.2006 16:41 1.374 imsins.BAK
11.05.2006 16:41 7.970 KB911564.log
11.05.2006 16:41 8.232 KB911565.log
11.05.2006 16:40 7.490 KB913446.log
11.05.2006 16:39 4.456 rdt.ini
11.05.2006 16:38 0 0.log
11.05.2006 16:38 159 wiadebug.log
11.05.2006 16:38 2.048 bootstat.dat
10.05.2006 22:47 50 wiaservc.log
10.05.2006 22:47 32.630 SchedLgU.Txt
10.05.2006 20:05 147.268 ntbtlog.txt
10.05.2006 20:00 61.440 Thumbs.db
10.05.2006 18:15 6.400 balloon.wav
04.05.2006 20:04 70 nero.INI
04.05.2006 16:31 239.075 setupact.log
02.05.2006 15:46 54.156 QTFont.qfn
01.04.2006 23:42 935 win.ini
25.03.2006 16:25 192 winamp.ini
25.03.2006 12:31 249 accessdll.log
25.03.2006 12:31 1.942 avmadd32.log
24.01.2006 16:47 10.188 KB910437.log
24.01.2006 16:45 6.809 KB905915-IE6SP1-20051122.175908.log
24.01.2006 16:43 11.620 KB912919.log
24.01.2006 16:42 7.690 KB835409.log
24.01.2006 16:41 11.223 KB908519.log
17.01.2006 21:44 8.628 barrmon.GID
04.12.2005 13:23 12.464 KB896424.log
26.11.2005 10:20 400 ODBC.INI


Verzeichnis von C:\

11.05.2006 17:38 0 sys.txt
11.05.2006 17:37 14.036 system.txt
11.05.2006 17:37 816 systemtemp.txt
11.05.2006 17:32 98.362 system32.txt
11.05.2006 16:38 805.306.368 pagefile.sys
18.10.2005 21:50 558 os930559.bin
04.08.2004 01:57 93.184 iexplore.exe
25.11.2003 16:34 194 boot.ini
01.01.2003 00:43 0 MSDOS.SYS
01.01.2003 00:43 0 AUTOEXEC.BAT
01.01.2003 00:43 0 CONFIG.SYS
01.01.2003 00:43 0 IO.SYS
29.08.2002 13:00 4.952 bootfont.bin
29.08.2002 13:00 235.296 ntldr
29.08.2002 13:00 47.580 NTDETECT.COM
15 Datei(en) 805.801.346 Bytes
0 Verzeichnis(se), 1.321.467.904 Bytes frei
Seitenanfang Seitenende
12.05.2006, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 unknown2604

1.
poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

2.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next --> poste das Log

3.
was ist das ?
[Barricade-Monitor] C:\WINDOWS\BarrMon.exe "NoSound"

---------------------------------------------------------------------------

ist fuer mich..............

Zitat

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{55E3661D-DD3F-410A-8CB2-E30A580C7161}: NameServer = 85.255.115.94,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E245DC4-4111-4BAC-9A5E-65880BB23AE9}: NameServer = 85.255.115.94,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BFA25AC-D892-41DC-AD3B-6B7F215C76F4}: NameServer = 85.255.115.94,85.255.112.24

Zitat

C:\WINDOWS\system32\wmejp.dll
C:\Programme\UnSpyPC
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
C:\iexplore.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2006, 15:38
...neu hier

Themenstarter

Beiträge: 6
#3 "Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Barricade-Monitor" = "C:\WINDOWS\BarrMon.exe "NoSound"" ["Michael Fritzsche"]
"ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"Steam" = (empty string)
"MessengerPlus3" = ""C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart" ["Patchou"]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"P2P Networking" = "C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART" [file not found]
"DU Meter" = "C:\Programme\DU Meter\DUMeter.exe" ["Hagel Technologies"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"MessengerPlus3" = ""C:\Programme\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"dmvfo.exe" = "C:\WINDOWS\System32\dmvfo.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{15362FA5-C983-41ed-B7AC-5B9BEAF56929}" = "AOL"
-> {HKLM...CLSID} = "AOL"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\aolshare\shell\de\shellext.dll" ["America Online, Inc."]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"
-> {HKLM...CLSID} = "Mobile"
\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"
-> {HKLM...CLSID} = "Mobile ContextMenuHandler"
\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"
-> {HKLM...CLSID} = "Mobile PropertySheetHandler"
\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase"
-> {HKLM...CLSID} = "SafeEraseObj Class"
\InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csozx.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}"
-> {HKLM...CLSID} = "SafeEraseObj Class"
\InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinUHA\(Default) = "{095177B8-8097-4D32-9081-A8949C47020E}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\WinUHA\shelluha.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}"
-> {HKLM...CLSID} = "SafeEraseObj Class"
\InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinUHA\(Default) = "{095177B8-8097-4D32-9081-A8949C47020E}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\WinUHA\shelluha.dll" [null data]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoBandCustomize"=dword:00000001
[disables toolbar status changes in Internet Explorer|View|Toolbars]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\SF_Wallpaper_03_BoW_1024x768.BMP"


Startup items in "Gege" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"AOL 8.0 Tray-Symbol" -> shortcut to: "C:\Programme\AOL 8.0\aoltray.exe -check" ["America Online, Inc."]
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {HKLM...CLSID} = "Web Browser Applet Control"
\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,
1 of the IP addresses is *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZONELABS\vsmon.exe -service" ["Zone Labs, LLC"]
WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 129 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 80 seconds.
---------- (total run time: 708 seconds)













05/12/06 15:27:35 [Info]: BlackLight Engine 1.0.36 initialized
05/12/06 15:27:35 [Info]: OS: 5.1 build 2600 (Service Pack 1)
05/12/06 15:27:35 [Note]: 7019 4
05/12/06 15:27:35 [Note]: 7005 0
05/12/06 15:27:46 [Note]: 7006 0
05/12/06 15:27:46 [Note]: 7011 188
05/12/06 15:27:46 [Note]: 7026 0
05/12/06 15:27:46 [Note]: 7026 0
05/12/06 15:27:48 [Note]: FSRAW library version 1.7.1015
05/12/06 15:27:50 [Info]: Hidden file: c:\MOZILLA\NSIFIL~2.EXE
05/12/06 15:27:50 [Info]: Hidden file: c:\MOZILLA\PLATTEST.EXE
05/12/06 15:27:51 [Info]: Hidden file: c:\MOZILLA\PRIMIT~1.EXE
05/12/06 15:27:51 [Info]: Hidden file: c:\MOZILLA\PROPER~1.EXE
05/12/06 15:27:52 [Info]: Hidden file: c:\MOZILLA\STRING~1.EXE
05/12/06 15:27:52 [Info]: Hidden file: c:\MOZILLA\TMMODU~1.EXE
05/12/06 15:27:53 [Info]: Hidden file: c:\MOZILLA\UNICHA~1.EXE
05/12/06 15:27:53 [Info]: Hidden file: c:\MOZILLA\UNIVER~1.EXE
05/12/06 15:27:54 [Info]: Hidden file: c:\MOZILLA\URLTEST.EXE
05/12/06 15:28:15 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DMVFO.EXE
05/12/06 15:28:15 [Note]: 7002 32
05/12/06 15:28:15 [Note]: 7003 1
05/12/06 15:28:15 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\HOWIPER.EXE
05/12/06 15:28:16 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\PPPCGM.EXE
05/12/06 15:28:16 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\CSOZX.EXE
05/12/06 15:28:16 [Note]: 7002 32
05/12/06 15:28:16 [Note]: 7003 1
05/12/06 15:28:17 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\FILESA~1.EXE
05/12/06 15:28:19 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WBEM\WBEMTEST.EXE
05/12/06 15:28:54 [Note]: 7006 0
05/12/06 15:28:54 [Note]: 7011 188
05/12/06 15:28:54 [Note]: 7026 0
05/12/06 15:28:54 [Note]: 7026 0
05/12/06 15:28:56 [Note]: FSRAW library version 1.7.1015
05/12/06 15:28:58 [Info]: Hidden file: c:\MOZILLA\NSIFIL~2.EXE
05/12/06 15:28:59 [Info]: Hidden file: c:\MOZILLA\PLATTEST.EXE
05/12/06 15:28:59 [Info]: Hidden file: c:\MOZILLA\PRIMIT~1.EXE
05/12/06 15:28:59 [Info]: Hidden file: c:\MOZILLA\PROPER~1.EXE
05/12/06 15:29:00 [Info]: Hidden file: c:\MOZILLA\STRING~1.EXE
05/12/06 15:29:00 [Info]: Hidden file: c:\MOZILLA\TMMODU~1.EXE
05/12/06 15:29:01 [Info]: Hidden file: c:\MOZILLA\UNICHA~1.EXE
05/12/06 15:29:01 [Info]: Hidden file: c:\MOZILLA\UNIVER~1.EXE
05/12/06 15:29:02 [Info]: Hidden file: c:\MOZILLA\URLTEST.EXE
05/12/06 15:29:22 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DMVFO.EXE
05/12/06 15:29:22 [Note]: 7002 32
05/12/06 15:29:22 [Note]: 7003 1
05/12/06 15:29:23 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\HOWIPER.EXE
05/12/06 15:29:24 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\PPPCGM.EXE
05/12/06 15:29:24 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\CSOZX.EXE
05/12/06 15:29:24 [Note]: 7002 32
05/12/06 15:29:24 [Note]: 7003 1
05/12/06 15:29:24 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\FILESA~1.EXE
05/12/06 15:29:27 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WBEM\WBEMTEST.EXE
05/12/06 15:32:23 [Note]: 7007 0






so, hab den silent runnter log und den blacklight log gepostet wie man sieht. habe bei silent runnter bei dem ersten pop up auf "nein" geklickt, war das richtig? sollte ja Supplementary Searches mit einbeziehen, hoffe das stimmte so.

zu Barricarde Monitor: Das dürfte das programm sein um den online status des routers zu überwachen, jedoch wurde das programm mit unserem alten router benutzt, bei dem neuen ist es nicht kompatibel, könnte also eigentlich auch deinstalliert werden.
Seitenanfang Seitenende
12.05.2006, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{BF69DF00-4734-477F-8257-27CD04F88779}]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{94A0E512-EFBE-18DE-9964-820E962F7FAD}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{6088FF2E-998F-5345-4D93-575B4AFA0449}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{0B153C28-A333-7429-BFDB-96F936AA144A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{2FDB21EE-AE4F-D8B4-B896-B87B675B623B}]

[-HKEY_CLASSES_ROOT\CLSID\{94A0E512-EFBE-18DE-9964-820E962F7FAD}]
[-HKEY_CLASSES_ROOT\CLSID\{6088FF2E-998F-5345-4D93-575B4AFA0449}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
2.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blacklight den Rechner neu starten.

scan --> next none auf rename ändern

-----------------------

3.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...........

C:\WINDOWS\System32\dmvfo.exe
C:\WINDOWS\system32\wmejp.dll
C:\WINDOWS\System32\csozx.exe
C:\WINDOWS\rdt.ini
c:\WINDOWS\SYSTEM32\HOWIPER.EXE.ren
c:\WINDOWS\SYSTEM32\PPPCGM.EXE.ren
c:\WINDOWS\SYSTEM32\CSOZX.EXE.ren
c:\WINDOWS\SYSTEM32\DMVFO.EXE.ren
C:\WINDOWS\balloon.wav
C:\iexplore.exe

PC neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{55E3661D-DD3F-410A-8CB2-E30A580C7161}: NameServer = 85.255.115.94,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E245DC4-4111-4BAC-9A5E-65880BB23AE9}: NameServer = 85.255.115.94,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BFA25AC-D892-41DC-AD3B-6B7F215C76F4}: NameServer = 85.255.115.94,85.255.112.24
5.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

6.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

7.
C:\Programme\UnSpyPC -> deinstallieren

---------------------
8.
boote wieder in den Normalmodus

**
du wirst eine neue Internetverbindung erstellen muessen............

**
eventuell lade den Mozilla /Firefox neu

9.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

10.
Download FixWareout:
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten

11.
scanne und poste den scanrpeort
http://virus-protect.org/ewido.html

**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2006, 17:12
...neu hier

Themenstarter

Beiträge: 6
#5 okay, habe nun mit blacklight alle dateien außer die eine umbenennen lassen.

Killbox hat alle dateien gelöscht denke ich, habe sie dann manuell im ordner C:Killbox gelöscht.
HJT hat ein paar einträge gefixt, sie tauchen zumindest beim scan nicht mehr auf.
wobei folgenen einträge gar nicht erst vorhanden waren um gefixt zu werden:

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wmejp.dll
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)

wobei man sagen muss das ich bereits im vorhinein (gestern) unspy deinstalliert habe und manuell noch weitere daten gelöscht habe die mit unspy zusammenhingen.

fixme.reg wurde im abgesicherten modus ausgeführt, keiner meiner browser läuft nun ;) ehrlich gesagter weise habe ich auch im moment nicht viel ahnung wie ich sie wieder lauffähig bekomme.. bin an einem anderen pc gerade lol

fixwareout scheint nichts zu finden (vielleicht weil unspy schon gelöscht wurde?) oder kann es daran liegen das die datei nicht geladen werden konnte von fixwareout, bis ich die verbindung wiederhergestellt habe. er schien nämlich aufs internet zugreifen zu müssen.

der ewido scan setzt wohl einen funktionsfähigen browser auf meinem pc vorraus? *g*


...eventuell bekomme ich die verbindung auch selber wieder hin, bzw. kann auch warten bis mein vater da is, der sollte es können. Aber schon ma vielen dank für deine mühe bis jetzt, achja, systemwiederherstellung ist auch ausgeschaltet nun vorerst

EDIT: browser laufen wieder.. fixwareout scheint seinen dienst verrichtet zu haben ;)


Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
"dmvfo.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\FILESA~1.REN

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal



EDIT 2: der ewido scan läuft noch... ich poste dann wenn er fertig ist die log.
ich hoffe bloß du überliest meine ganzen edits nich ;)
Dieser Beitrag wurde am 12.05.2006 um 17:56 Uhr von unknown2604 editiert.
Seitenanfang Seitenende
12.05.2006, 18:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 nein, ich ueberlese nichts ;)

**
du musst eine neue internetverbindung erstellen, denn die andere, korumpierte wurde geloescht.
und den mozilla musst du eventuell auch neu laden (mit dem IE......).oder mit Diskette, usb-stick......

**
poste dann den report vom ewido
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2006, 18:30
...neu hier

Themenstarter

Beiträge: 6
#7 ja, wie gesagt die broswer laufen wieder hatte nur die ip grad nich, naja egal, scheint ja wieder alles zu funktionieren, hab dne firefox installer sowieso noch aufm rechner, werd wohl mal wegkommen vom internet explorer ^^
hmm, der großteils des logs sind cookies, aber ich poste einfach ma komplett ;)

jedenfalls, es scheint als würde keiner der browser mehr abstürzen, gestern habe ich schon einmal den firefox installiert, aber bereits wenig später stürzte dieser ebenso wie vorher der internetexplorer mit einem "problembericht senden" ab. dafür der internetexplorer gestern scheinbar schon nicht mehr...seltsam.
aber nun laufen wohl alle



ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:22:13, 12.05.2006
+ Report-Checksumme: C417CA38

+ Scanergebnis:

HKLM\SOFTWARE\Altnet -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Altnet\TopSearch -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADM25.ADM25 -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADM25.ADM25\CurVer -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADM25.ADM25.1 -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADM4.ADM4 -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADM4.ADM4\CurVer -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADM4.ADM4.1 -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SigningModule.SigningModule -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SigningModule.SigningModule\CLSID -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SigningModule.SigningModule\CurVer -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SigningModule.SigningModule.1 -> Adware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer -> Adware.P2PNetworking : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer\CLSID -> Adware.P2PNetworking : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer\CurVer -> Adware.P2PNetworking : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer.1 -> Adware.P2PNetworking : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav -> Adware.KeenValue : Gesäubert mit Backup
HKU\S-1-5-21-1928762192-1222078004-1500637832-1005\Software\EverAd -> Adware.EverAd : Gesäubert mit Backup
HKU\S-1-5-21-1928762192-1222078004-1500637832-1005\Software\EverAd\PlayJ Player -> Adware.EverAd : Gesäubert mit Backup
C:\WINDOWS\system32\P2P Networking -> Adware.P2PNetworking : Gesäubert mit Backup
C:\WINDOWS\system32\P2P Networking\Cache -> Adware.P2PNetworking : Gesäubert mit Backup
C:\WINDOWS\system32\P2P Networking\Cache\Database -> Adware.P2PNetworking : Gesäubert mit Backup
C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL -> Adware.P2PNetworking : Gesäubert mit Backup
C:\WINDOWS\system32\P2P Networking\P2P Networking.eng -> Adware.P2PNetworking : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\adm4.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\adm25.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\adm.exe -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\admdata.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\admdloader.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\admfdi.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\admprog.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\atl.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\dmfiles.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\DMinfo3.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\dminstall3.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\msvcirt.dll -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\mysearch.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\pmexe.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\pmfiles.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\pminstall.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\Setup.cab -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Temp\Altnet\Setup.exe -> Adware.Altnet : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll -> Adware.PeerNet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Gege\Cookies\gege@adtech[1].txt -> TrackingCookie.Adtech : Gesäubert mit Backup


C:\Recycled\Dc34.ren -> Downloader.Agent.uj : Gesäubert mit Backup
C:\Recycled\Dc35.ren -> Trojan.Pakes : Gesäubert mit Backup
C:\Recycled\Dc38.ren -> Adware.Msnagent : Gesäubert mit Backup
C:\Recycled\Dc40.dll -> Adware.SBSoft : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
13.05.2006, 00:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 unknown2604

poste bitte das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2006, 09:25
...neu hier

Themenstarter

Beiträge: 6
#9 Logfile of HijackThis v1.99.1
Scan saved at 09:24:10, on 13.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\BarrMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Gege\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Barricade-Monitor] C:\WINDOWS\BarrMon.exe "NoSound"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://tears-of-angel.4sub.de
O15 - Trusted Zone: http://www.kaspersky.com
O15 - Trusted Zone: http://www.monstersgame.de
O15 - Trusted Zone: http://www.pandasoftware.com
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gerrit
O17 - HKLM\Software\..\Telephony: DomainName = gerrit
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E245DC4-4111-4BAC-9A5E-65880BB23AE9}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gerrit
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
Dieser Beitrag wurde am 13.05.2006 um 09:30 Uhr von unknown2604 editiert.
Seitenanfang Seitenende
13.05.2006, 14:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 - fixe noch mit dem HijackThis:

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

- mache die WindowsUpdates....
- dann sollte wieder alles o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2006, 15:23
...neu hier

Themenstarter

Beiträge: 6
#11 jo, oki, habe ich getan

also du meinst es sieht alles okay aus? hm, kam mir nur komisch vor, weil, anti vir hat zwar bei den reboots anfangs die beiden trojaner gefunden und ich denke auch gelöscht, aber dennoch stürzte es ja weiterhin danach noch beim scannen ab. Jetzt zwar nicht mehr, aber direkt der trojaner wurde doch nicht mehr gefunden oder gelöscht? und er soll ja auch einträge in der registry löschen bzw. sich dort verankern damit er sich wieder herstellen kann nach dem löschen?
aber vielen dank für deine mühen und sorry für die zeit die ich dir geraubt habe. Finds klasse wie du den leuten hier hilfst ;) vielen vielen dank.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: