Gelbes Dreieck in Taskleiste und nervige Popups

#1 Hallo Leute,

hab mir gestern irgendwie SpyFalcon draufgezogen und nach Anleitung wieder entfernt. Allerdings ist das oben genannte zurückgeblieben.

Hier Hijackthis Log File:

Logfile of HijackThis v1.99.1
Scan saved at 12:48:37, on 14.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atmclk.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\d50962e1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ICROSO~1\spool32.exe
C:\WINDOWS\system32\T?sks\??rss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
F:\Programme\Xfire\Xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\Dennis\LOKALE~1\Temp\Rar$EX00.922\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {36E768FF-8438-F8B7-6454-FA6A60DADCED} - C:\WINDOWS\system32\feaummh.dll (file missing)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp3356.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [d50962e1.exe] C:\WINDOWS\system32\d50962e1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [d50962e1.exe] C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\d50962e1.exe
O4 - HKCU\..\Run: [Tmto] "C:\PROGRA~1\ICROSO~1\spool32.exe" -vt yazr
O4 - HKCU\..\Run: [Igeq] C:\WINDOWS\system32\T?sks\??rss.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = F:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WB - f:\Programme\AlienGUIse\fastload.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Danke schonmal

#2 Cliff

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

4.
Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\spool32*.*" > c:\find.txt & start notepad c:\find.txt

Zitat

dir /s /a "c:\??rss.exe*.*" > c:\find.txt & start notepad c:\find.txt

Zitat

dir /s /a "c:\??rss*.*" > c:\find.txt & start notepad c:\find.txt

*
__________
MfG Sabina

rund um die PC-Sicherheit

#3 1.Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von C:\WINDOWS\system32

14.05.2006 14:10 5.024 stdole3.tlb
14.05.2006 14:05 37.389 ldD820.tmp
14.05.2006 11:42 10.168 atmclk.exe
13.05.2006 20:58 8.192 simpole.tlb
13.05.2006 20:58 81.408 dcomcfg.exe
12.05.2006 13:26 2 wcpsvsu.exe
12.05.2006 13:26 48.141 regperf.exe
12.05.2006 13:26 4.096 d50962e1.exe
11.05.2006 17:03 1.324 d3d9caps.dat
09.05.2006 18:06 98.304 CmdLineExt.dll
05.05.2006 13:37 259.840 FNTCACHE.DAT
04.05.2006 06:26 5.818.784 MRT.exe
30.04.2006 14:43 2 RICHTX.DEP
05.04.2006 20:00 2.206 wpa.dbl
03.04.2006 18:33 1.100 d3d8caps.dat
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
27.03.2006 13:48 316.924 perfh007.dat
27.03.2006 13:48 40.128 perfc009.dat
27.03.2006 13:48 311.740 perfh009.dat
27.03.2006 13:48 48.354 perfc007.dat
27.03.2006 13:48 723.744 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
21.03.2006 21:00 6.948 jupdate-1.5.0_06-b05.log
21.03.2006 20:55 2.277.888 TUKernel.exe
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
06.03.2006 13:48 176.167 rmoc3260.dll
06.03.2006 13:48 6.656 pndx5016.dll
06.03.2006 13:48 5.632 pndx5032.dll
06.03.2006 13:48 278.528 pncrt.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 426.496 msdtcprx.dll
22.02.2006 08:19 22 ati64hlp.stb
20.02.2006 14:58 22 ati64hl2.stb
19.02.2006 14:33 16.832 amcompat.tlb
19.02.2006 14:33 23.392 nscompat.tlb
19.02.2006 14:02 34.064 lhacm.acm
19.02.2006 13:30 4.704 KGyGaAvL.sys
19.02.2006 13:01 302 $winnt$.inf
19.02.2006 12:59 2.951 CONFIG.NT
19.02.2006 12:58 488 WindowsLogon.manifest
19.02.2006 12:58 488 logonui.exe.manifest
19.02.2006 12:58 749 nwc.cpl.manifest
19.02.2006 12:58 749 ncpa.cpl.manifest
19.02.2006 12:58 749 wuaucpl.cpl.manifest
19.02.2006 12:58 749 cdplayer.exe.manifest
19.02.2006 12:58 749 sapi.cpl.manifest
19.02.2006 12:56 21.740 emptyregdb.dat
19.02.2006 12:54 0 h323log.txt
03.02.2006 09:43 2.332.368 d3dx9_29.dll
03.02.2006 09:42 230.096 xactengine2_0.dll
03.02.2006 09:41 14.032 x3daudio1_0.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
12.12.2005 08:44 307.200 atiiiexx.dll
12.12.2005 08:01 258.048 ATIDEMGR.dll
12.12.2005 07:09 6.684.672 atioglx1.dll
12.12.2005 05:57 4.968.448 atioglxx.dll
12.12.2005 05:41 252.928 ati2dvag.dll
12.12.2005 05:35 110.592 atipdlxx.dll
12.12.2005 05:35 77.824 Oemdspif.dll
12.12.2005 05:35 26.112 Ati2mdxx.exe
12.12.2005 05:35 40.960 ati2edxx.dll
12.12.2005 05:34 47.104 ati2evxx.dll
12.12.2005 05:33 393.216 ati2evxx.exe
12.12.2005 05:33 53.248 ATIDDC.DLL
12.12.2005 05:25 2.518.016 ati3duag.dll
12.12.2005 05:18 862.464 ativvaxx.dll
12.12.2005 05:04 151.552 atikvmag.dll
12.12.2005 04:39 17.408 atitvo32.dll
12.12.2005 04:33 237.568 ati2cqag.dll
11.12.2005 22:05 520.192 ati2sgag.exe
09.12.2005 00:01 112.421 atiicdxx.dat
08.12.2005 14:56 65.536 QuickTimeVR.qtx
08.12.2005 14:56 49.152 QuickTime.qts
05.12.2005 19:09 2.323.664 d3dx9_28.dll
05.12.2005 19:07 61.136 xinput9_1_0.dll
05.12.2005 07:12 56.320 pxinsa64.exe
05.12.2005 07:12 339.968 pxwave.dll
05.12.2005 07:12 56.832 pxcpya64.exe
05.12.2005 07:12 405.504 pxdrv.dll
05.12.2005 07:12 28.672 vxblock.dll
05.12.2005 07:12 339.968 px.dll
05.12.2005 07:12 172.032 pxmas.dll
05.12.2005 07:12 61.440 pxhpinst.exe
28.11.2005 17:43 6.024 atifglpf.xml
10.11.2005 14:03 127.078 javaws.exe
10.11.2005 14:03 49.265 jpicpl32.cpl
10.11.2005 12:27 49.250 javaw.exe
10.11.2005 12:27 49.248 java.exe
21.10.2005 00:25 1.094.144 esent.dll
18.10.2005 19:57 94.720 imekr61.ime
17.10.2005 23:20 118.272 t2embed.dll
17.10.2005 23:20 80.896 fontsub.dll
13.10.2005 01:11 15.584 spmsg.dll
06.10.2005 05:08 1.839.616 win32k.sys
15.09.2005 17:55 458.752 mgxoschk.dll
10.09.2005 03:54 2.067.968 cdosys.dll
01.09.2005 03:44 292.352 winsrv.dll
01.09.2005 03:44 19.968 linkinfo.dll
30.08.2005 05:55 1.292.800 quartz.dll
23.08.2005 05:39 124.416 umpnpmgr.dll
22.08.2005 20:31 197.632 netman.dll
26.07.2005 06:39 37.888 olecnv32.dll
26.07.2005 06:39 74.752 olecli32.dll
26.07.2005 06:39 397.824 rpcss.dll
26.07.2005 06:39 101.376 txflog.dll
26.07.2005 06:39 1.285.120 ole32.dll
26.07.2005 06:39 243.200 es.dll
26.07.2005 06:39 540.160 comuid.dll
26.07.2005 06:39 1.267.200 comsvcs.dll
26.07.2005 06:39 60.416 colbact.dll
26.07.2005 06:39 97.792 comrepl.dll
26.07.2005 06:39 498.688 clbcatq.dll
26.07.2005 06:39 225.792 catsrv.dll
26.07.2005 06:39 625.152 catsrvut.dll
26.07.2005 06:39 110.080 clbcatex.dll
22.07.2005 20:59 2.319.568 d3dx9_27.dll
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
29.06.2005 03:49 74.240 mscms.dll
29.06.2005 03:49 254.976 icm32.dll
28.06.2005 09:21 22.752 spupdsvc.exe
15.06.2005 19:49 295.936 kerberos.dll
11.06.2005 01:53 57.856 spoolsv.exe
31.05.2005 11:20 79.432 GEARAspi.dll
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 546.304 hhctrl.ocx
27.05.2005 04:04 137.216 itss.dll
26.05.2005 16:34 2.297.552 d3dx9_26.dll
26.05.2005 05:16 18.200 wups2.dll
26.05.2005 05:16 1.343.768 wuaueng.dll
26.05.2005 05:16 173.536 wuweb.dll
26.05.2005 05:16 41.240 wups.dll
26.05.2005 05:16 75.544 cdm.dll
26.05.2005 05:16 198.424 iuengine.dll
26.05.2005 05:16 174.872 wuaucpl.cpl
26.05.2005 05:16 466.200 wuapi.dll
26.05.2005 05:16 174.872 wuauclt1.exe
26.05.2005 05:16 194.840 wuaueng1.dll
26.05.2005 05:16 124.696 wuauclt.exe
26.05.2005 05:16 128.280 wucltui.dll
11.05.2005 04:30 78.336 telnet.exe
04.05.2005 15:45 271.360 msihnd.dll
04.05.2005 15:45 78.848 msiexec.exe
04.05.2005 15:45 884.736 msimsg.dll
04.05.2005 15:45 15.360 msisip.dll
04.05.2005 15:45 2.890.240 msi.dll
09.04.2005 22:17 401.408 DLLAV32.dll
09.04.2005 22:17 36.864 DLLPNT32.dll
09.04.2005 22:17 49.152 DLLIO32.dll
09.04.2005 22:17 155.648 DLLDEV32.dll
09.04.2005 22:17 143.360 DLLDRV32.dll
09.04.2005 22:17 188.416 DLLRES32.dll
09.04.2005 22:17 32.768 STRING32.dll
09.04.2005 21:05 27.807 mgxcdr.txt
18.03.2005 18:19 2.337.488 d3dx9_25.dll
02.03.2005 20:09 56.832 authz.dll
02.03.2005 20:09 578.560 user32.dll
02.03.2005 20:06 2.017.792 ntkrnlpa.exe
02.03.2005 20:06 2.138.112 ntoskrnl.exe

2.Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

14.05.2006 14:22 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}29772.html
14.05.2006 14:15 206 jusched.log
14.05.2006 14:14 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}30282.html
14.05.2006 14:05 16.384 ~DFD799.tmp
14.05.2006 14:05 512 ~DFBDF7.tmp
14.05.2006 14:05 16.384 ~DFBDEC.tmp
6 Datei(en) 35.447 Bytes
0 Verzeichnis(se), 35.900.928.000 Bytes frei

3.Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von C:\WINDOWS

14.05.2006 14:08 116 NeroDigital.ini
14.05.2006 14:05 592.388 setupapi.log
14.05.2006 14:05 0 0.log
14.05.2006 14:05 1.214.039 WindowsUpdate.log
14.05.2006 14:05 2.048 bootstat.dat
14.05.2006 13:07 32.570 SchedLgU.Txt
14.05.2006 12:50 54.156 QTFont.qfn
14.05.2006 12:50 3.932.214 InvaderDark1280.bmp
14.05.2006 12:49 100 wb.ini
14.05.2006 12:18 5.760.054 AW_1600x1200.bmp
14.05.2006 12:11 203.317 setupact.log
13.05.2006 22:35 50 wiaservc.log
13.05.2006 22:35 216 wiadebug.log
12.05.2006 18:28 23 BlendSettings.ini
12.05.2006 13:27 10.750 ModemLog_Creatix V.92 Data Fax Modem.txt
10.05.2006 22:56 48.584 iis6.log
10.05.2006 22:56 114.749 comsetup.log
10.05.2006 22:56 67.983 ntdtcsetup.log
10.05.2006 22:56 17.428 ocmsn.log
10.05.2006 22:56 1.374 imsins.log
10.05.2006 22:56 123.125 tsoc.log
10.05.2006 22:56 12.095 KB913580.log
10.05.2006 22:56 15.873 msgsocm.log
10.05.2006 22:56 157.466 ocgen.log
10.05.2006 22:56 308.915 FaxSetup.log
10.05.2006 22:56 16.608 updspapi.log
04.05.2006 23:29 21 TemplateWizard.INI
26.04.2006 22:28 11.329 KB900485.log
25.04.2006 17:11 123 Videodeluxe.INI
23.04.2006 17:47 76.546 wmsetup.log
19.04.2006 11:26 64.304 DirectX.log
16.04.2006 10:07 923 spupdsvc.log
16.04.2006 01:36 15.054 KB908531.log
16.04.2006 01:36 14.295 KB911562.log
16.04.2006 01:36 17.342 KB912812.log
16.04.2006 01:36 20.729 KB911565.log
16.04.2006 01:35 10.897 KB911567.log
13.04.2006 08:03 1.409 QTFont.for
09.04.2006 15:50 346 cdPlayer.ini
09.04.2006 04:17 231 system.ini
18.03.2006 16:12 13.979 KB901190.log
18.03.2006 12:34 1.760 regopt.log
14.03.2006 17:44 230.306 uninstall GuildWarsPanorama High Quality.exe
14.03.2006 17:44 57.830.936 GuildWarsPanorama High Quality.scr
10.03.2006 17:35 521 GEARInstall.log
22.02.2006 01:11 2.818 KB885884.log
20.02.2006 21:24 400 ODBC.INI
20.02.2006 01:39 42.206 KB885835.log
20.02.2006 01:39 41.422 KB885250.log
20.02.2006 01:39 39.146 KB873339.log
20.02.2006 01:39 39.284 KB888113.log
20.02.2006 01:39 40.060 KB887742.log
20.02.2006 01:39 30.889 KB888302.log
20.02.2006 01:39 21.412 KB886185.log
20.02.2006 01:37 1.043.892 setupapi.log.0.old
19.02.2006 20:27 30.411 KB899587.log
19.02.2006 20:27 29.524 KB896422.log
19.02.2006 20:27 28.267 KB885836.log
19.02.2006 20:27 29.206 KB911927.log
19.02.2006 20:27 28.703 KB901017.log
19.02.2006 20:27 29.022 KB899591.log
19.02.2006 20:27 29.211 KB896424.log
19.02.2006 20:26 28.899 KB893756.log
19.02.2006 20:26 27.019 KB896423.log
19.02.2006 20:26 27.327 KB887472.log
19.02.2006 20:26 28.660 KB896358.log
19.02.2006 20:26 22.916 KB910437.log
19.02.2006 20:26 19.599 KB911564.log
19.02.2006 20:26 31.781 KB905915.log
19.02.2006 20:26 24.844 KB891781.log
19.02.2006 20:25 31.153 KB902400.log
19.02.2006 20:25 21.893 KB890046.log
19.02.2006 20:25 21.149 KB905414.log
19.02.2006 20:25 20.453 KB901214.log
19.02.2006 20:25 20.862 KB900725.log
19.02.2006 20:25 18.404 KB912919.log
19.02.2006 20:25 17.595 KB904706.log
19.02.2006 20:24 18.215 KB905749.log
19.02.2006 20:24 16.997 KB896428.log
19.02.2006 20:24 17.680 KB894391.log
19.02.2006 20:24 15.450 KB908519.log
19.02.2006 20:24 11.543 KB913446.log
19.02.2006 20:24 25.430 KB890859.log
19.02.2006 15:12 9.477 KB893803v2.log
19.02.2006 15:12 9.799 KB898461.log
19.02.2006 14:33 243 wmsetup10.log
19.02.2006 14:33 316.640 WMSysPr9.prx
19.02.2006 14:00 85 magix.ini
19.02.2006 13:58 107.132 UninstallThunderbird.exe
19.02.2006 13:57 5.776 mozver.dat
19.02.2006 13:57 486 win.ini
19.02.2006 13:48 0 nsreg.dat
19.02.2006 13:48 107.134 UninstallFirefox.exe
19.02.2006 13:44 6.003 KB835221.log
19.02.2006 13:03 829 OEWABLog.txt
19.02.2006 13:01 8.192 REGLOCS.OLD
19.02.2006 13:00 318 setuperr.log
19.02.2006 12:59 0 control.ini
19.02.2006 12:58 4.161 ODBCINST.INI
19.02.2006 12:58 749 WindowsShell.Manifest
19.02.2006 12:56 37 vbaddin.ini
19.02.2006 12:56 36 vb.ini
19.02.2006 12:56 133 DtcInstall.log
19.02.2006 12:56 1.023 sessmgr.setup.log
19.02.2006 12:54 200 cmsetacl.log
19.02.2006 12:51 0 Sti_Trace.log

4.Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von C:\

14.05.2006 14:24 0 sys.txt
14.05.2006 14:24 7.898 system.txt
14.05.2006 14:23 636 systemtemp.txt
14.05.2006 14:23 101.423 system32.txt
14.05.2006 14:18 2 DirDPFCns.txt
14.05.2006 14:18 1.990 DirDPF.txt
14.05.2006 14:04 1.610.612.736 pagefile.sys
14.05.2006 12:09 3.630 smitfiles.txt
21.03.2006 20:55 389 boot.ini
19.02.2006 12:59 0 AUTOEXEC.BAT
19.02.2006 12:59 0 MSDOS.SYS
19.02.2006 12:59 0 CONFIG.SYS
19.02.2006 12:59 0 IO.SYS

echo.bat:

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.12.2005 11:55 5.101 swflash.inf
1 Datei(en) 5.101 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.101 Bytes
0 Verzeichnis(se), 35.818.033.152 Bytes frei

da stand irgendwie 5 mal das gleiche

Zitat

dir /s /a "c:\spool32*.*" > c:\find.txt & start notepad c:\find.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von c:\Programme\?icrosoft

12.05.2006 13:26 71.168 spool32.exe
1 Datei(en) 71.168 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 71.168 Bytes
0 Verzeichnis(se), 35.900.801.024 Bytes frei

Zitat

dir /s /a "c:\??rss.exe*.*" > c:\find.txt & start notepad c:\find.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von c:\WINDOWS\system32

04.08.2004 14:00 6.144 csrss.exe
1 Datei(en) 6.144 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 14:00 6.144 csrss.exe
1 Datei(en) 6.144 Bytes

Verzeichnis von c:\WINDOWS\system32\T?sks

08.05.2006 21:48 409.600 ??rss.exe
1 Datei(en) 409.600 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 421.888 Bytes
0 Verzeichnis(se), 35.900.710.912 Bytes frei

Zitat

dir /s /a "c:\??rss*.*" > c:\find.txt & start notepad c:\find.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von c:\Programme\Microsoft Works\1031\Tasks

23.06.2004 04:01 31.472 hhrss.BMP
23.06.2004 04:01 31.472 strss.bmp
2 Datei(en) 62.944 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 14:00 6.144 csrss.exe
1 Datei(en) 6.144 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 14:00 6.144 csrss.exe
1 Datei(en) 6.144 Bytes

Verzeichnis von c:\WINDOWS\system32\T?sks

08.05.2006 21:48 409.600 ??rss.exe
1 Datei(en) 409.600 Bytes

Anzahl der angezeigten Dateien:
5 Datei(en) 484.832 Bytes
0 Verzeichnis(se), 35.900.706.816 Bytes frei

#4 Cliff

Spyfalcon + Purutysan (Info)
http://virus-protect.org/artikel/spyware/spyfalcon_purityscan.html

------------------

1.
entpacke auf dem Desktop

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg

*) Killbox http://www.bleepingcomputer.com/files/killbox.php -> [Anleitung: http://virus-protect.org/killbox.html

*) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

-----------------
2.
Killbox
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

Zitat

C:\WINDOWS\system32\stdole3.tlb
C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\d50962e1.exe
C:\WINDOWS\system32\ldD820.tmp
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\wcpsvsu.exe
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\d50962e1.exe
C:\WINDOWS\system32\d3d9caps.dat

PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

Zitat

R3 - URLSearchHook: (no name) - {36E768FF-8438-F8B7-6454-FA6A60DADCED} - C:\WINDOWS\system32\feaummh.dll (file missing)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp3356.tmp (file missing)
O4 - HKLM\..\Run: [d50962e1.exe] C:\WINDOWS\system32\d50962e1.exe
O4 - HKCU\..\Run: [d50962e1.exe] C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\d50962e1.exe
O4 - HKCU\..\Run: [Tmto] "C:\PROGRA~1\ICROSO~1\spool32.exe" -vt yazr
O4 - HKCU\..\Run: [Igeq] C:\WINDOWS\system32\T?sks\??rss.exe

**

4.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

**
5.
Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

**
6.
achte auf Datum und Groesse, damit du nicht das Falsche loschst !!!!

Verzeichnis von c:\Programme\?icrosoft\spool32.exe

12.05.2006 13:26 71.168 spool32.exe
1 Datei(en) 71.168 Bytes

Verzeichnis von c:\WINDOWS\system32\T?sks\??rss.exe
08.05.2006 21:48 409.600 ??rss.exe
1 Datei(en) 409.600 Bytes

**
7.
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

**
8.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
Start - Ausführen - cleanmgr (reinschreiben)
Klick: Temporäre Internet Files/Temporäre Internet Dateien -> o.k.
Klick: Temporäre Dateien -> o.k

**
9.
boote wieder in den Normalmodus

-----------------------------------------------------------------
**
10.
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
11.
scanne und loesche alles, was in der QuArantaene ist
http://virus-protect.org/artikel/tools/superantispyware.html

12.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hab soweit alles versucht zu befolgen, aber habe probleme mit Punkt 6. Habe versucht, die Datei manuell zu finden, aber den Pfad gab es nicht. Oder soll ich dafür nen Programm nehmen? Wenn ja welches? killbox wohl kaum, denn da kann ich ja das Datum usw nicht auswählen(hinterher lösch ich noch das falsche).

#6 suche nach datum
was wurde alles am 12.05.2006
installiert?

suche unter Programme:

Datum: 12.05.2006
Uhrzeit:13:26
Groese: 71.168
Dateiname: spool32.exe

c:\Programme\?icrosoft\spool32.exe<--loeschen

-----------------------------------------------------

was wurde am 8.05. installiert?

suche unter: c:\WINDOWS\system32

Verzeichnis von c:\WINDOWS\system32\T?sks\??rss.exe
08.05.2006 -> Datum
21:48 -> Uhrzeit
409.600 -> Groesse

T?sks <-Dateiname
??rss.exe <-Dateiname

c:\WINDOWS\system32\T?sks\??rss.exe-> loeschen

---------------

Beispiel:

Verzeichnis von c:\WINDOWS\system32\??crosoft
14.03.2006 17:01 DIR ??crosoft
0 Datei(en) 0 Bytes

so ist die ??crosoft in Wahrheit


__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ich glaube, ich bin zu doof dafür.
Also: ich starte den PC im Abgesicherten Modus und klicke auf Start--> Suchen.
Dann auf Suche nach Dateien und Ordnern ---> bei Suchbegriff spool32.exe eingeben und bei erstellungsdatum den 12.5 angeben. Soweit richtig? wenn ja, dann findet der nichts. Dasselbe ist bei ??rss.exe.

#8 o.k. arbeite alles ab (ohne die Suche nach dem Purityscan)

wenn dann alles fertig ist und der Spyfalcon entfernt ist, lade ewido, scanne (im abgesicherten modus) und poste denn den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:19:00, 15.05.2006
+ Report-Checksumme: 2E60EFB4

+ Scanergebnis:

:mozilla.7:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Valueclick : Gesäubert mit Backup
:mozilla.62:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.63:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.64:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.65:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.66:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.81:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.82:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.83:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.84:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.85:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.86:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.87:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
:mozilla.88:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dennis\Cookies\dennis@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dennis\Cookies\dennis@zedo[2].txt -> TrackingCookie.Zedo : Gesäubert mit Backup


::Report Ende


Es wurden noch mehr Cookies gelöscht, die kann ich allerdings nicht posten, denn ich musste zwischendrin den scan abbrechen, um zur arbeit zu fahren (ich hätte nicht gedacht, dass das 3h dauert Oo).

#10 1.
nun...scanne noch mal, am besten im abgesicherten Modus !
ich hoffe der ewido findet den purityscan.

2.
dann lade dr.web und scanne auch mit ihm.
http://virus-protect.org/cureit.html

3.
Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren

Zitat

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Dr.Web:

appmagr.dll;C:\!KillBox;Trojan.Fakealert;Gelöscht.;
appmagr.dll ( 1);C:\!KillBox;Trojan.Fakealert;Gelöscht.;
appmagr.dll( 2);C:\!KillBox;Trojan.Fakealert;Gelöscht.;
atmclk.exe;C:\!KillBox;Trojan.Popuper;Gelöscht.;
d50962e1.exe;C:\!KillBox;Trojan.DownLoader.9878;Gelöscht.;
regperf.exe;C:\!KillBox;Trojan.Popuper;Gelöscht.;
A0012285.exe;C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP66;Adware.SaveNow;;
A0012286.dll;C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP66;Adware.SaveNow;;

Ewido:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 13:36:47, 16.05.2006
+ Report-Checksumme: 1A3FF708

+ Scanergebnis:

:mozilla.69:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Valueclick : Gesäubert mit Backup
:mozilla.70:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
:mozilla.71:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
:mozilla.72:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.73:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.74:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.75:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.76:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.77:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.78:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.79:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.82:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.83:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.84:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.96:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
:mozilla.105:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
:mozilla.106:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.107:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.108:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.109:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.110:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.114:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert mit Backup
:mozilla.115:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert mit Backup
:mozilla.116:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert mit Backup
:mozilla.120:C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\3ton2nbo.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dennis\Cookies\dennis@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dennis\Cookies\dennis@zedo[1].txt -> TrackingCookie.Zedo : Gesäubert mit Backup


::Report Ende

#12 nun...keiner erkennt den purityscan (oder hast du ihn doch geloescht bekommen ???)

poste alle logs, wenn kein Platz hier ist...als Anhang (siehe unten)
http://virus-protect.org/completbat.html
+

noch mal:

dir /s /a "c:\??rss.exe*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\spool32*.*" > c:\find.txt & start notepad c:\find.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von c:\WINDOWS\system32

04.08.2004 14:00 6.144 csrss.exe
1 Datei(en) 6.144 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 14:00 6.144 csrss.exe
1 Datei(en) 6.144 Bytes

Verzeichnis von c:\WINDOWS\system32\T?sks

08.05.2006 21:48 409.600 ??rss.exe
1 Datei(en) 409.600 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 421.888 Bytes
0 Verzeichnis(se), 35.397.189.632 Bytes frei

spool32.exe:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5805-BDD9

Verzeichnis von c:\Programme\?icrosoft

12.05.2006 13:26 71.168 spool32.exe
1 Datei(en) 71.168 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 71.168 Bytes
0 Verzeichnis(se), 35.397.189.632 Bytes frei


Nein, habs nicht gelöscht gekriegt Wenn du mir aber ne genaue Anleitung zum löschen machst, würd ichs wohl hinkriegen

#14 Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
--------------
**
am 12.05. um 13.26 geladen

c:\Programme\.....icrosoft -> loeschen

--------------
**
am 08.05 um 21:48 geladen:

c:\WINDOWS\system32\T....sks\....rss.exe -> loeschen

--------------

scanne mit Bitdefender/Online-ScanOnline neu
und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ok, habs gelöscht gekriegt. Danke
Hier der Bericht:

BitDefender Online Scanner

Bericht erstellt am: Wed, May 17, 2006 - 13:02:45

Zu prüfender Pfad: C:\;D:\;E:\;F:\;G:\;H:\;I:\;J:\;K:\;

Statistik

Zeit: 00:43:22

Dateien: 264280

Ordner: 5061

Boot-Sektoren: 6

Archive: 3668

Komprimierte Dateien: 16847

Ergebnisse

Erkannte Viren: 2

Infizierte Dateien: 5

verdächtige Dateien: 0

Warnungen: 0

Desinfiziert: 0

Gelöscht: 5

Engine-Info

Virensignaturen: 375288

Engine info

AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Prüf-Plugins: 13

Archiv-Plugins: 40

Extraktions-Plugins: 4

E-Mail-Plugins: 6

System-Plugins: 1


Prüfeinstellungen

Primäre Aktion: Desinfizieren

Sekundäre Aktion: Löschen

Heuristik: Ja

Warnungen aktivieren: Ja

Zu prüfende Erweiterungen: *;

Auszuschließende Erweiterungen

E-Mails prüfen: Ja

Archive prüfen: Ja

Komprimierte Dateien prüfen: Ja

Dateien prüfen: Ja

Boot-Sektoren prüfen: Ja

Geprüfte Dateien Status

C:\!KillBox\atmclk.exe( 2)


Infiziert: Trojan.Downloader.Zlob.OP

C:\!KillBox\atmclk.exe( 2)


Desinfektion fehlgeschlagen

C:\!KillBox\atmclk.exe( 2)


Gelöscht

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP78\A0015668.exe


Erkannt: Adware.HTool.Crac*hier nicht!*.A

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP78\A0015668.exe


Gelöscht

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP90\A0018906.exe


Infiziert: Trojan.Downloader.Zlob.OP

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP90\A0018906.exe


Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP90\A0018906.exe


Gelöscht

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP90\A0019156.exe


Infiziert: Trojan.Downloader.Zlob.OP

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP90\A0019156.exe


Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP90\A0019156.exe


Gelöscht

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP91\A0019319.exe


Infiziert: Trojan.Downloader.Zlob.OP

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP91\A0019319.exe


Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{BFDC6D2F-8822-43FA-A4E1-5564B1D34343}\RP91\A0019319.exe


Gelöscht