Backdoor.CIADoor.13

#31 Playboy87

1.
Start->Ausführen --> regedit

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = ganzen Schluessel loeschen

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [fgqeemyc] C:\dvkystqv.bat
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#32

Zitat

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = ganzen Schluessel loeschen

das hatte ich bereits gemacht ^^ hatte ja schon mitgelesen.

Aber

Zitat

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

den punkt habe ich net gefunden..

Allerddings habe ich unter:

HKEY_USERS sehr viele (glaub ich neue) Ordner --> http://img83.imageshack.us/img83/9887/bildcb9.jpg

Wenn ich mit "regsearch" nach:

DisableTaskMgr
DisableRegistryTools
DisableCMD

suche, finde ich folgendes:
DisableTaskMgr --> nix mehr

DisableRegistryTools --> --> nix mehr

DisableCMD --> auch nix mehr (obwohl ich mir hier ziemlich sicher bin, dass ich einen eintrag in:

HKEY_USERS\S-1-5-21-606747145-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\System

gefunden hatte - ihn aber schon gelöscht habe..


2. Gemacht...

hier nochma ein aktuelles:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:21:21, on 18.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\Foresight\Foresight.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Akiro Da Ruler\Desktop\Verknüpfungen aller Art\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.akiro-web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ForeSight] C:\Programme\Foresight\Foresight.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [1&1_1&1 SoftPhone] "C:\Programme\1&1\1&1 SoftPhone\IPPHONE.EXE" /hide
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = E:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9AF461C-2E06-4C4D-81B4-42B869FC8BFE}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

3. Seeehr nettes tool
damit spart man sich viel arbeit..
CleanUp! 4.5.2 recovered 458.5 MB of disk space from 15437 files.
CleanUp! finished on 09/18/06 15:13:22. ^^

4.

Zitat

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 6CB8-62CF

Verzeichnis von C:\WINDOWS\system32

18.09.2006 15:18 81.984 bdod.bin
18.09.2006 15:18 29.204 nvapps.xml
18.09.2006 15:18 13.646 wpa.dbl
18.09.2006 15:04 54.112 vsconfig.xml
18.09.2006 14:58 14 getfile.dat
18.09.2006 02:50 73.728 sockspy.dll
18.09.2006 02:50 77.824 xcomm.dll
14.09.2006 04:14 384.216 perfh007.dat
14.09.2006 04:14 879.678 PerfStringBackup.INI
14.09.2006 04:14 61.096 perfc007.dat
14.09.2006 04:14 50.532 perfc009.dat
14.09.2006 04:14 374.064 perfh009.dat
11.09.2006 19:37 8.960.936 MRT.exe
01.09.2006 17:12 43.520 CmdLineExt03.dll
21.08.2006 22:34 98.304 CmdLineExt.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 16:24 4.212 zllictbl.dat
25.07.2006 22:33 615.936 urlmon.dll
23.07.2006 10:22 664 d3d9caps.dat
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
09.07.2006 13:42 42.920 vsutil_loc0407.dll
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 83.960 vsdata.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 07:06 69.120 ciodm.dll
22.06.2006 07:06 1.441.792 query.dll
20.06.2006 23:32 796.584 libeay32_0.9.6l.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 03:37 2.182.656 kernel1.exe

Zitat

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 6CB8-62CF

Verzeichnis von C:\DOKUME~1\AKIROD~1\LOKALE~1\Temp

18.09.2006 15:21 16.384 ~DF9914.tmp
18.09.2006 15:20 832 java_install_reg.log
18.09.2006 15:19 0 JET1109.tmp
18.09.2006 15:19 0 JET17.tmp
18.09.2006 15:19 0 JET16.tmp
18.09.2006 15:19 65.536 ~DFCB1D.tmp
18.09.2006 15:18 16.384 ~DF656D.tmp
18.09.2006 15:13 206 jusched.log
8 Datei(en) 99.342 Bytes
0 Verzeichnis(se), 15.190.622.208 Bytes frei

Zitat

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 6CB8-62CF

Verzeichnis von C:\WINDOWS

18.09.2006 15:04 0 0.log
18.09.2006 15:03 159 wiadebug.log
18.09.2006 15:02 2.048 bootstat.dat
18.09.2006 15:01 26.978 SchedLgU.Txt
18.09.2006 15:01 50 wiaservc.log
18.09.2006 15:01 1.068.162 WindowsUpdate.log
18.09.2006 07:01 783.929 setupapi.log
18.09.2006 06:46 192 winamp.ini
18.09.2006 02:46 1.758 win.ini
17.09.2006 23:19 79.806 wmsetup.log
15.09.2006 20:40 188.272 setupact.log
15.09.2006 01:10 339 CODUO.ini
13.09.2006 23:21 22.010 ocmsn.log
13.09.2006 23:21 34.176 msgsocm.log
13.09.2006 23:21 119.749 netfxocm.log
13.09.2006 23:21 35.101 tabletoc.log
13.09.2006 23:21 346.206 ocgen.log
13.09.2006 23:21 789.935 iis6.log
13.09.2006 23:21 677.954 FaxSetup.log
13.09.2006 23:21 217.212 msmqinst.log
13.09.2006 23:21 15.425 KB920685.log
13.09.2006 23:21 174.107 comsetup.log
13.09.2006 23:21 29.488 medctroc.Log
13.09.2006 23:21 104.835 ntdtcsetup.log
13.09.2006 23:21 317.555 tsoc.log
13.09.2006 23:21 1.374 imsins.log
13.09.2006 23:21 1.374 imsins.BAK
13.09.2006 23:21 17.075 KB920872.log
13.09.2006 23:20 15.579 KB919007.log
13.09.2006 23:20 9.686 KB922582.log
13.09.2006 23:20 46.531 updspapi.log
13.09.2006 19:50 754 WORDPAD.INI
07.09.2006 22:26 1.452 COM+.log
01.09.2006 13:31 54.156 QTFont.qfn
01.09.2006 13:31 1.409 QTFont.for
26.08.2006 02:09 391 wmsetup10.log
23.08.2006 18:00 90 videodeLuxe.INI
21.08.2006 22:31 179.996 DirectX.log
09.08.2006 05:49 25.775 KB920214.log
09.08.2006 05:49 25.491 KB921883.log
09.08.2006 05:49 25.653 KB922616.log
09.08.2006 05:49 25.229 KB921398.log
09.08.2006 05:49 27.941 KB918899.log
09.08.2006 05:49 17.532 KB920670.log
09.08.2006 05:48 17.687 KB917422.log
09.08.2006 05:48 17.937 KB920683.log
02.08.2006 18:12 33.072 spupdsvc.log
02.08.2006 18:08 6.345 WgaNotify.log
02.08.2006 07:04 3.095 discwriter.log
02.08.2006 07:04 0 OrangeBurn.log
18.07.2006 01:27 43 gswin32.ini
13.07.2006 19:48 400 ODBC.INI
13.07.2006 19:46 1.519 OEWABLog.txt
12.07.2006 03:02 87.069 KB917159.log
12.07.2006 03:02 87.671 KB914388.log
12.07.2006 03:01 86.010 KB916595.log
22.06.2006 03:46 27 Trade.txt
16.06.2006 03:14 19.506 KB917734.log
16.06.2006 03:10 31.198 KB918439.log
16.06.2006 03:09 31.877 KB917344.log
16.06.2006 03:08 30.832 KB917953.log
16.06.2006 03:07 30.813 KB911280.log
16.06.2006 03:06 29.760 KB901190.log
16.06.2006 03:05 33.760 KB916281.log
16.06.2006 03:03 25.115 KB914389.log
16.06.2006 00:48 87 GEARInstall.log

Zitat

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 6CB8-62CF

Verzeichnis von C:\

18.09.2006 15:26 0 sys.txt
18.09.2006 15:25 10.179 system.txt
18.09.2006 15:25 637 systemtemp.txt
18.09.2006 15:22 115.426 system32.txt
18.09.2006 15:02 4.290.772.992 pagefile.sys
18.09.2006 05:11 2.970 avenger.txt
01.09.2006 05:06 45 TEST.XML
23.06.2006 20:10 0 ASPI.LOG
22.06.2006 04:24 1.536 temp.txt
22.06.2006 04:24 388 temp.bat

#33 ich finde nichts mehr, du kannst noch mal mit Counterspy scannen - poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#34

Zitat

Spyware Scan Details
Start Date: 18.09.2006 16:36:41
End Date: 18.09.2006 16:40:34
Total Time: 3 mins 53 secs

Detected spyware

Messenger Plus! Adware Bundler more information...
Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.
Status: Ignored

Infected files detected
c:\programme\messengerplus! 3\msgplus.exe
c:\programme\messengerplus! 3\msgplusloader.dll
c:\programme\messengerplus! 3\msgplusloader1.dll
c:\programme\messengerplus! 3\msgplush.dll
c:\programme\messengerplus! 3\readme.txt
c:\programme\messengerplus! 3\richedhook.dll
c:\programme\messengerplus! 3\lame_enc.dll
c:\programme\messengerplus! 3\libsndfile.dll
c:\programme\messengerplus! 3\detoured.dll
c:\programme\messengerplus! 3\resources\lang_kurdish.ini
c:\programme\messengerplus! 3\resources\msgplusres.dll
c:\programme\messengerplus! 3\resources\defaultlg.dat
c:\programme\messengerplus! 3\resources\lang_francais.ini
c:\programme\messengerplus! 3\resources\lang_catala.ini
c:\programme\messengerplus! 3\resources\lang_dansk.ini
c:\programme\messengerplus! 3\resources\lang_estonian.ini
c:\programme\messengerplus! 3\resources\lang_suomeksi.ini
c:\programme\messengerplus! 3\resources\lang_deutsch.ini
c:\programme\messengerplus! 3\resources\lang_italiano.ini
c:\programme\messengerplus! 3\resources\lang_norsk (bokmal).ini
c:\programme\messengerplus! 3\resources\lang_portugues.ini
c:\programme\messengerplus! 3\resources\lang_espanol (latino).ini
c:\programme\messengerplus! 3\resources\lang_espanol (espana).ini
c:\programme\messengerplus! 3\resources\lang_svenska.ini
c:\programme\messengerplus! 3\resources\lang_nederlands.ini
c:\programme\messengerplus! 3\resources\lang_arabic.ini
c:\programme\messengerplus! 3\resources\lang_chinese simplified.ini
c:\programme\messengerplus! 3\resources\lang_chinese traditional.ini
c:\programme\messengerplus! 3\resources\lang_hebrew.ini
c:\programme\messengerplus! 3\resources\lang_magyar.ini
c:\programme\messengerplus! 3\resources\lang_japanese.ini
c:\programme\messengerplus! 3\resources\lang_korean.ini
c:\programme\messengerplus! 3\resources\lang_thai.ini
c:\programme\messengerplus! 3\resources\lang_turkce.ini
c:\programme\messengerplus! 3\resources\lang_hellenic.ini
c:\programme\messengerplus! 3\plugins\developers.txt

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MessengerPlus3


RealVNC Commercial Remote Control Tool more information...
Details: VNC (Virtual Network Computing) software makes it possible to view and fully-interact with one computer from any other computer or mobile device anywhere on the Internet.
Status: Ignored

Infected files detected
c:\programme\realvnc\vnc4\unins000.dat
c:\programme\realvnc\vnc4\unins000.exe
c:\programme\realvnc\vnc4\winvnc4.exe
c:\programme\realvnc\vnc4\vncconfig.exe
c:\programme\realvnc\vnc4\wm_hooks.dll
c:\programme\realvnc\vnc4\logmessages.dll
c:\programme\realvnc\vnc4\vncviewer.exe


eDonkey2000 P2P Program more information...
Details: eDonkey2000 is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Ignored

Infected files detected
c:\programme\edonkey2000\contact.dat
c:\programme\edonkey2000\server.met
c:\programme\edonkey2000\blacklist.txt
c:\programme\edonkey2000\edonkey2000.exe
c:\programme\edonkey2000\uninstall_edonkey2000.exe
c:\programme\edonkey2000\log.txt
c:\programme\edonkey2000\known.met.bak
c:\programme\edonkey2000\known.met
c:\programme\edonkey2000\78.html
c:\programme\edonkey2000\friend.met.bak
c:\programme\edonkey2000\friend.met
c:\programme\edonkey2000\pref.xml
c:\programme\edonkey2000\80.html
c:\programme\edonkey2000\server.met.bak
c:\programme\edonkey2000\5.html
c:\programme\edonkey2000\svr-blacklist.txt
c:\programme\edonkey2000\filters.txt
c:\programme\edonkey2000\keyring.dat
c:\programme\edonkey2000\keyring.dat.bak
c:\programme\edonkey2000\share.dat
c:\programme\edonkey2000\media.xml
c:\programme\edonkey2000\layout.xml
c:\programme\edonkey2000\share.dat.bak
c:\programme\edonkey2000\uploadq.dat
c:\programme\edonkey2000\plugins\lma readme.txt
c:\programme\edonkey2000\plugins\launchmyapp.dll
c:\programme\edonkey2000\plugins\httpprotocol.dll
c:\programme\edonkey2000\plugins\jpcplugin5.dll
c:\programme\edonkey2000\plugins\easypreview.dll
c:\programme\edonkey2000\plugins\easypreview.txt
c:\programme\edonkey2000\plugins\unrar.dll
c:\programme\edonkey2000\plugins\btplugin.dll
c:\programme\edonkey2000\plugins\leeme_esp.rtf
c:\programme\edonkey2000\plugins\lesemich_ger.rtf
c:\programme\edonkey2000\plugins\readme_eng.rtf
c:\programme\edonkey2000\plugins\_libtorrent_bsd_licence.txt
c:\programme\edonkey2000\plugins\boost_thread-vc6-mt-1_31.dll
c:\programme\edonkey2000\plugins\jpcplugin.ini
c:\programme\edonkey2000\plugins\btplugin.ini
c:\programme\edonkey2000\plugins\launchmyapp.ini
c:\programme\edonkey2000\temp\don't mess with temp files!!!!!.txt
c:\programme\edonkey2000\skins\default\add2keyring-dis.png
c:\programme\edonkey2000\skins\default\add2keyring-down.png
c:\programme\edonkey2000\skins\default\add2keyring-hover.png
c:\programme\edonkey2000\skins\default\add2keyring-up.png
c:\programme\edonkey2000\skins\default\arrow-down.png
c:\programme\edonkey2000\skins\default\arrow-up.png
c:\programme\edonkey2000\skins\default\background.png
c:\programme\edonkey2000\skins\default\console-big-down.png
c:\programme\edonkey2000\skins\default\console-big-hover.png
c:\programme\edonkey2000\skins\default\console-big-up.png
c:\programme\edonkey2000\skins\default\console-small-down.png
c:\programme\edonkey2000\skins\default\console-small-hover.png
c:\programme\edonkey2000\skins\default\console-small-up.png
c:\programme\edonkey2000\skins\default\download-dis.png
c:\programme\edonkey2000\skins\default\download-down.png
c:\programme\edonkey2000\skins\default\download-hover.png
c:\programme\edonkey2000\skins\default\download-up.png
c:\programme\edonkey2000\skins\default\ed2k-connect.png
c:\programme\edonkey2000\skins\default\ed2k-connected.png
c:\programme\edonkey2000\skins\default\ed2k-connecting.png
c:\programme\edonkey2000\skins\default\ed2k-disconnect.png
c:\programme\edonkey2000\skins\default\ed2k-disconnected.png
c:\programme\edonkey2000\skins\default\exclaim.png
c:\programme\edonkey2000\skins\default\folder-closed-both.png
c:\programme\edonkey2000\skins\default\folder-closed-childshared.png
c:\programme\edonkey2000\skins\default\folder-closed-shared.png
c:\programme\edonkey2000\skins\default\folder-closed-unshared.png
c:\programme\edonkey2000\skins\default\folder-go-up-level.png
c:\programme\edonkey2000\skins\default\folder-open-both.png
c:\programme\edonkey2000\skins\default\folder-open-childshared.png
c:\programme\edonkey2000\skins\default\folder-open-shared.png
c:\programme\edonkey2000\skins\default\folder-open-unshared.png
c:\programme\edonkey2000\skins\default\folder-refresh.png
c:\programme\edonkey2000\skins\default\generatecatalog-dis.png
c:\programme\edonkey2000\skins\default\generatecatalog-down.png
c:\programme\edonkey2000\skins\default\generatecatalog-hover.png
c:\programme\edonkey2000\skins\default\generatecatalog-up.png
c:\programme\edonkey2000\skins\default\launch-dis.png
c:\programme\edonkey2000\skins\default\launch-down.png
c:\programme\edonkey2000\skins\default\launch-hover.png
c:\programme\edonkey2000\skins\default\launch-up.png
c:\programme\edonkey2000\skins\default\little-back.png
c:\programme\edonkey2000\skins\default\main-help-down.png
c:\programme\edonkey2000\skins\default\main-help-hover.png
c:\programme\edonkey2000\skins\default\main-help-up.png
c:\programme\edonkey2000\skins\default\main-options-down.png
c:\programme\edonkey2000\skins\default\main-options-hover.png
c:\programme\edonkey2000\skins\default\main-options-up.png
c:\programme\edonkey2000\skins\default\main-register-down.png
c:\programme\edonkey2000\skins\default\main-register-hover.png
c:\programme\edonkey2000\skins\default\main-register-up.png
c:\programme\edonkey2000\skins\default\managekeyring-dis.png
c:\programme\edonkey2000\skins\default\managekeyring-down.png
c:\programme\edonkey2000\skins\default\managekeyring-hover.png
c:\programme\edonkey2000\skins\default\managekeyring-up.png
c:\programme\edonkey2000\skins\default\mediaplayer.png
c:\programme\edonkey2000\skins\default\moreres-dis.png
c:\programme\edonkey2000\skins\default\moreres-down.png
c:\programme\edonkey2000\skins\default\moreres-hover.png
c:\programme\edonkey2000\skins\default\moreres-up.png
c:\programme\edonkey2000\skins\default\on-connect.png
c:\programme\edonkey2000\skins\default\on-connected.png
c:\programme\edonkey2000\skins\default\on-connecting.mng
c:\programme\edonkey2000\skins\default\on-connecting.png
c:\programme\edonkey2000\skins\default\on-disconnect.png
c:\programme\edonkey2000\skins\default\on-disconnected.png
c:\programme\edonkey2000\skins\default\options-down.png
c:\programme\edonkey2000\skins\default\options-hover.png
c:\programme\edonkey2000\skins\default\options-up.png
c:\programme\edonkey2000\skins\default\preview.png
c:\programme\edonkey2000\skins\default\refresh-dis.png
c:\programme\edonkey2000\skins\default\refresh-down.png
c:\programme\edonkey2000\skins\default\refresh-hover.png
c:\programme\edonkey2000\skins\default\refresh-up.png
c:\programme\edonkey2000\skins\default\remove-dis.png
c:\programme\edonkey2000\skins\default\remove-down.png
c:\programme\edonkey2000\skins\default\remove-hover.png
c:\programme\edonkey2000\skins\default\remove-up.png
c:\programme\edonkey2000\skins\default\search-dis.png
c:\programme\edonkey2000\skins\default\search-down.png
c:\programme\edonkey2000\skins\default\search-hover.png
c:\programme\edonkey2000\skins\default\search-up.png
c:\programme\edonkey2000\skins\default\searching.mng
c:\programme\edonkey2000\skins\default\share-dis.png
c:\programme\edonkey2000\skins\default\share-down.png
c:\programme\edonkey2000\skins\default\share-hover.png
c:\programme\edonkey2000\skins\default\share-up.png
c:\programme\edonkey2000\skins\default\tab-catalogs-down.png
c:\programme\edonkey2000\skins\default\tab-catalogs-hover.png
c:\programme\edonkey2000\skins\default\tab-catalogs-up.png
c:\programme\edonkey2000\skins\default\tab-friends-down.png
c:\programme\edonkey2000\skins\default\tab-friends-hover.png
c:\programme\edonkey2000\skins\default\tab-friends-up.png
c:\programme\edonkey2000\skins\default\tab-home-down.png
c:\programme\edonkey2000\skins\default\tab-home-hover.png
c:\programme\edonkey2000\skins\default\tab-home-up.png
c:\programme\edonkey2000\skins\default\tab-media-down.png
c:\programme\edonkey2000\skins\default\tab-media-hover.png
c:\programme\edonkey2000\skins\default\tab-media-up.png
c:\programme\edonkey2000\skins\default\tab-search-down.png
c:\programme\edonkey2000\skins\default\tab-search-hover.png
c:\programme\edonkey2000\skins\default\tab-search-up.png
c:\programme\edonkey2000\skins\default\tab-servers-down.png
c:\programme\edonkey2000\skins\default\tab-servers-hover.png
c:\programme\edonkey2000\skins\default\tab-servers-up.png
c:\programme\edonkey2000\skins\default\tab-shared-down.png
c:\programme\edonkey2000\skins\default\tab-shared-hover.png
c:\programme\edonkey2000\skins\default\tab-shared-up.png
c:\programme\edonkey2000\skins\default\tab-stats-down.png
c:\programme\edonkey2000\skins\default\tab-stats-hover.png
c:\programme\edonkey2000\skins\default\tab-stats-up.png
c:\programme\edonkey2000\skins\default\tab-transfers-down.png
c:\programme\edonkey2000\skins\default\tab-transfers-hover.png
c:\programme\edonkey2000\skins\default\tab-transfers-up.png
c:\programme\edonkey2000\skins\default\ui.xml
c:\programme\edonkey2000\skins\default\unshare-dis.png
c:\programme\edonkey2000\skins\default\unshare-down.png
c:\programme\edonkey2000\skins\default\unshare-hover.png
c:\programme\edonkey2000\skins\default\unshare-up.png
c:\programme\edonkey2000\skins\default\x-down.png
c:\programme\edonkey2000\skins\default\x-hover.png
c:\programme\edonkey2000\skins\default\x-up.png
c:\dokumente und einstellungen\akiro da ruler\anwendungsdaten\microsoft\internet explorer\quick launch\edonkey2000.lnk


ICQ Sniffer Surveillance (General) more information...
Details: ICQ Sniffer for ICQ Monitoring is a handy network utility to capture and log ICQ chat from computers within the same LAN. It supports messaging through ICQ server with format of plain text, RTF, or HTML. All intercepted messages are well organized by ICQ
Status: Ignored


VNC Enterprise Edition Commercial Remote Control Tool more information...
Details: VNC stands for Virtual Network Computing. It is remote control software which allows you to view and interact with one computer (the "server") using a simple program (the "viewer") on another computer anywhere on the Internet. The two computers don't
Status: Ignored

Infected files detected
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (user-mode)\run vnc server.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (user-mode)\configure user-mode settings.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\register vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\unregister vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\start vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\stop vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\configure vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc viewer 4\run vnc viewer.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc viewer 4\run listening vnc viewer.lnk
c:\programme\realvnc\vnc4\vncconfig.exe
c:\programme\realvnc\vnc4\vncviewer.exe


CIA RAT more information...
Status: Ignored

Infected files detected
c:\windows\system32\ri.ocx


PdPinch.b Trojan more information...
Details: PdPinch.b is a Trojan that will attempt to send stolen passwords to a remote server.
Status: Ignored

Infected files detected
c:\windows\csrss.exe

Noch eine frage, was bringt der user (unter benutzer):

ASP.net machine a...

???

#35 **
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
c:\windows\csrss.exe
c:\windows\system32\ri.ocx

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
deine Frage verstehe ich nicht..........

Zitat

Noch eine frage, was bringt der user (unter benutzer):
ASP.net machine a...

__________
MfG Sabina

rund um die PC-Sicherheit

#36 erstmal danke für die hilfe

echt guter support hier

zu:

Zitat

Noch eine frage, was bringt der user (unter benutzer):
ASP.net machine a...

Es gibt bei mir (und meiner freundin) einen user (systemsteuerung -> benutzer) namens: "ASP.net machine a..."

was bringt der ?

der ist mir noch nie aufgefallen...

#37 hast du XP-Prof oder Home ?
Start - Ausfuehren - > compmgmt.msc

findest du:
Local Users and Groups ?
__________
MfG Sabina

rund um die PC-Sicherheit

#38 hab win prof.


hab den user aber schon gelöscht nur bei meiner freundin isser noch aufm pc..

#39 dann loesche ihn dort auch, ueber: Local Users and Groups
__________
MfG Sabina

rund um die PC-Sicherheit

#40 ok mach ich.


aber weist du woher der kommt ? und was der macht ?

#41 net.frame 1.1 installiert
Windows richtet - für bestimmte Dienste (in diesem Fall .NET) spezielle Konten ein, die ausreichend Rechte besitzen, Einstellungen zu ändern (in diesem Fall an .NET).
Ich nehme an, du hast ein Windows-Update und dadurch neue asp.NET-Komponenten auf die Platte gespielt wurden.
loesche das Konto, aber nicht die Daten. oder: (kannst das konto auch bestehen lassen...kein Problem)
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Hi,

ich habe mir ebenso Ciadoor.13 eingefangen.
Ich habe einmal Antivir durchlaufen lassen, das hat dann 10 Viren oder was auch immer gelöscht. Aber da immer noch Porno-Pop-Ups sich einfach so geöffnet haben (und sowohl keine Icons als auch keine Startleiste mehr angezeigt wurde), hat ein Freund von mir mit der Windows CD versucht die vom System gelöschten Dateien zu reparieren.

Hat soweit auch gut geklappt. Nun kamen aber diese Pop-ups weiterhin, was wirklich ärgerlich ist und ein anderer Freund hat mir Ad-Aware empfohlen, dass dann das auch noch mal entdeckt hat...

N aja ich habe da von einfach keine Ahnung und habe gehofft, dass es damit nun alles ist, aber es öffnen sich immer noch diese unerwünschten Pop-ups.

Meine Bitte hier ist, ob sich bitte jemand mal das angucken könnte, ob es denn nun wirklich weg ist, oder ob noch was da ist? Wie gesagt ich habe davon gar keinen Schimmer, und hoffe, dass mir jemand helfen kann.

LG Caillean



Logfile of HijackThis v1.99.1
Scan saved at 14:57:40, on 22.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\PViever\pviever.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marion Hientz\Desktop\hijackthis\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PViever] "C:\Program Files\PViever\pviever.exe" hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FDC339B-6AFF-437D-A074-84FF436CA6FE}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1D4AA98-DD23-433F-8A6C-0B4EF0541BE7}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FDC339B-6AFF-437D-A074-84FF436CA6FE}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{3FDC339B-6AFF-437D-A074-84FF436CA6FE}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

#43 Caillean

deine Internetverbindung wird im Moment auf einen Server in der Ukraine umgeleitet.

«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

«
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit

#44 ClainUp hab ich eingestellt aber beim anderen teil kommt nicht der texteditor sondern da steht:

Die Eingabeaufforderung ist vom Administrator deaktiviert worden.
Drücken sie eine beliebige taste...

Soll das so sein?

Edit: Habs die ganze Zeit schon weiter probiert aber datfindbat geht irgendwie nicht, wie darüber beschrieben... Langsam verzweifle ich...

#45 Caillean
Start->Ausführen --> regedit

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = ganzen Schluessel loeschen

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit