Home » Spyware & Browser Hijacker Support Forum » Hat mich erwischt: (Zahl)exmodul32.exe - Hijack inside » Themenansicht

Hat mich erwischt: (Zahl)exmodul32.exe - Hijack inside

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.12.2006, 14:17
ChillY1985
...neu hier

Beiträge: 4
#16 Also, das habe ich auch gemacht:

Code

doesn't exist 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
Und dann die logs nochmal:

system32.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F8DA-70B2

 Verzeichnis von C:\WINDOWS\system32

07.12.2006  14:03            88.566 nvapps.xml
06.12.2006  23:31            81.984 bdod.bin
06.12.2006  23:01            13.488 GDIPFONTCACHEV1.DAT
06.12.2006  22:10            92.680 FNTCACHE.DAT
06.12.2006  21:41           185.952 rmoc3260.dll
06.12.2006  21:39             5.632 pndx5032.dll
06.12.2006  21:39             6.656 pndx5016.dll
06.12.2006  18:57            13.002 wpa.dbl
05.12.2006  21:14           278.528 pncrt.dll
05.12.2006  20:31            23.392 nscompat.tlb
05.12.2006  20:31            16.832 amcompat.tlb
05.12.2006  00:24            40.128 perfc009.dat
05.12.2006  00:24           316.924 perfh007.dat
05.12.2006  00:24           311.740 perfh009.dat
05.12.2006  00:24            48.354 perfc007.dat
05.12.2006  00:24           723.744 PerfStringBackup.INI
04.12.2006  23:44               251 spupdwxp.log
04.12.2006  22:27            12.980 wpa.bak
04.12.2006  21:42                44 msssc.dll
04.12.2006  21:36            25.065 wmpscheme.xml
04.12.2006  21:33               261 $winnt$.inf
04.12.2006  21:31             2.951 CONFIG.NT
04.12.2006  21:30               488 WindowsLogon.manifest
04.12.2006  21:30               488 logonui.exe.manifest
04.12.2006  21:30               749 wuaucpl.cpl.manifest
04.12.2006  21:30               749 nwc.cpl.manifest
04.12.2006  21:30               749 cdplayer.exe.manifest
04.12.2006  21:30               749 sapi.cpl.manifest
04.12.2006  21:30               749 ncpa.cpl.manifest
04.12.2006  21:29            21.740 emptyregdb.dat
04.12.2006  21:27                 0 h323log.txt


systemtemp.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F8DA-70B2

 Verzeichnis von C:\DOKUME~1\Ben\LOKALE~1\Temp

07.12.2006  14:11               978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}10803.html
07.12.2006  14:07             2.302 pcrules.xml
07.12.2006  14:04            16.384 ~DFEC2C.tmp
07.12.2006  14:04               512 ~DFEC37.tmp
07.12.2006  14:04               512 ~DFEC05.tmp
07.12.2006  14:04            16.384 ~DFEC13.tmp
07.12.2006  14:04               512 ~DFEC1E.tmp
07.12.2006  14:04            16.384 ~DFEBFA.tmp
07.12.2006  14:04               512 ~DFEBA7.tmp
07.12.2006  14:04            16.384 ~DFEB8C.tmp
07.12.2006  14:04            16.384 ~DFBDF2.tmp
07.12.2006  14:04            16.384 Perflib_Perfdata_844.dat
07.12.2006  14:03               512 ~DF8D5B.tmp
07.12.2006  14:03            16.384 ~DF8D50.tmp
07.12.2006  00:39            16.384 ~DFB972.tmp
07.12.2006  00:39            16.384 ~DFB0B4.tmp
06.12.2006  19:40         6.696.004 Norton Internet Security 12-6-2006 19h32m47s.log
06.12.2006  19:39             5.905 SYMEVENT.LOG
06.12.2006  19:39             3.285 LSInstall.log
06.12.2006  19:39             2.515 SNDunin.log
06.12.2006  19:39             1.870 IDSinst.LOG
06.12.2006  19:37            89.892 symcprop.dat
06.12.2006  19:33               124 AVRES_OPTRF_LiveUpdate.dat
06.12.2006  18:28               896 MSI5cd21.LOG
              24 Datei(en)      6.953.787 Bytes
               0 Verzeichnis(se), 14.647.349.248 Bytes frei

windows.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F8DA-70B2

 Verzeichnis von C:\WINDOWS

07.12.2006  14:03                 0 0.log
07.12.2006  14:03             2.048 bootstat.dat
07.12.2006  00:44            13.708 SchedLgU.Txt
07.12.2006  00:44         1.040.403 WindowsUpdate.log
07.12.2006  00:43               749 win.ini
06.12.2006  23:34           174.300 setupact.log
06.12.2006  22:21           125.824 ntbtlog.txt
06.12.2006  21:13            98.850 setupapi.log
05.12.2006  23:42            70.232 spupdsvc.log
05.12.2006  20:49                 0 nsreg.dat
05.12.2006  20:49             3.428 mozver.dat
05.12.2006  20:33            19.387 wmsetup.log
05.12.2006  20:31             2.481 wmsetup10.log
05.12.2006  20:31            92.830 iis6.log
05.12.2006  20:31           125.179 ntdtcsetup.log

 Verzeichnis von C:\WINDOWS\Temp


down.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F8DA-70B2

 Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.12.2006  21:30                65 desktop.ini
09.11.2006  14:36             5.019 swflash.inf
26.05.2005  04:19               291 wuweb.inf
               3 Datei(en)          5.375 Bytes
               0 Verzeichnis(se), 14.647.296.000 Bytes frei

c.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F8DA-70B2

 Verzeichnis von C:\

07.12.2006  14:14                 0 sys.txt
07.12.2006  14:14               392 down.txt
07.12.2006  14:13               117 temp.txt
07.12.2006  14:13               117 tmp.txt
07.12.2006  14:13             7.266 windows.txt
07.12.2006  14:12             9.214 system.txt
07.12.2006  14:12             1.536 systemtemp.txt
07.12.2006  14:12            13.748 system32.txt
07.12.2006  14:03       805.306.368 pagefile.sys
04.12.2006  23:40               211 boot.ini
04.12.2006  23:36            47.564 NTDETECT.COM
04.12.2006  23:36           251.184 ntldr
04.12.2006  21:31                 0 IO.SYS
04.12.2006  21:31                 0 CONFIG.SYS
04.12.2006  21:31                 0 AUTOEXEC.BAT
04.12.2006  21:31                 0 MSDOS.SYS
18.08.2001  13:00             4.952 bootfont.bin
              17 Datei(en)    805.642.669 Bytes
               0 Verzeichnis(se), 14.647.291.904 Bytes frei
Seitenanfang Seitenende
07.12.2006, 14:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 aendern
"FirewallDisableNotify"=dword:00000001 - in 0 aendern
"AntiVirusOverride"=dword:00000001 - in 0 aendern


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\svchost.exe - loeschen

»»
PC neustarten

»»
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2007, 15:43
karlkani21
...neu hier

Beiträge: 6
#18 Hallo, ich hab das gleiche Problem wie die beiden vor mir.
Doch leider ist das alles hier für mich Fachchinesisch.
Bis zum Avenger text bin ich gekommen.
Das hier hat Avenger ausgespuckt:
So hab das Avenger jetzt maal ausgeführt....bis hierhin hab ich es verstanden.

Hier der Text den mir Avenger ausgespuckt hat:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\netqxeja

*******************

Script file located at: \??\C:\WINDOWS\oajcpvap.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034

File C:\WINDOWS\system\smss.exe deleted successfully.
File C:\WINDOWS\system32\getfile.dat deleted successfully.


File C:\Temp\data.exe not found!
Deletion of file C:\Temp\data.exe failed!

Could not process line:
C:\Temp\data.exe
Status: 0xc0000034



File C:\data.exe not found!
Deletion of file C:\data.exe failed!

Could not process line:
C:\data.exe
Status: 0xc0000034



File C:\WINDOWS\system32\bdod.bin not found!
Deletion of file C:\WINDOWS\system32\bdod.bin failed!

Could not process line:
C:\WINDOWS\system32\bdod.bin
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\Mehmet\Lokale Einstellungen\Temp\tmp1.tmp for deletion
Deletion of file C:\Dokumente und Einstellungen\Mehmet\Lokale Einstellungen\Temp\tmp1.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Mehmet\Lokale Einstellungen\Temp\tmp1.tmp
Status: 0xc000003a



File C:\WINDOWS\system32\nvsvcd.exe not found!
Deletion of file C:\WINDOWS\system32\nvsvcd.exe failed!

Could not process line:
C:\WINDOWS\system32\nvsvcd.exe
Status: 0xc0000034



File C:\WINDOWS\system32\wodfamoh.dll not found!
Deletion of file C:\WINDOWS\system32\wodfamoh.dll failed!

Could not process line:
C:\WINDOWS\system32\wodfamoh.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Dieser Beitrag wurde am 11.01.2007 um 16:42 Uhr von karlkani21 editiert.
Seitenanfang Seitenende
11.01.2007, 16:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 karlkani21

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

»»
poste das log vom HijackThis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2007, 16:41
karlkani21
...neu hier

Beiträge: 6
#20 Hier die 6 Textdatein

system32.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS\system32

11.01.2007 16:23 1.158 wpa.dbl
11.01.2007 14:49 3.137 x_dtrace_log
11.01.2007 12:00 984 ikhcore.log
11.01.2007 09:30 9.132 jupdate-1.5.0_10-b03.log
09.01.2007 22:57 14.848 BASSMOD.dll
06.01.2007 11:33 53.770 perfc009.dat
06.01.2007 11:33 382.026 perfh009.dat
06.01.2007 11:33 64.848 perfc007.dat
06.01.2007 11:33 393.086 perfh007.dat
06.01.2007 11:33 902.476 PerfStringBackup.INI
19.12.2006 17:21 228.000 FNTCACHE.DAT
11.12.2006 08:02 8.892 jupdate-1.5.0_09-b03.log
08.12.2006 12:02 251.672 xactengine2_5.dll
07.12.2006 15:13 10.716.584 MRT.exe
07.12.2006 07:40 2.362.184 wmvcore.dll
29.11.2006 13:06 3.426.072 d3dx9_32.dll
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
15.11.2006 11:38 15.128 x3daudio1_1.dll
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
08.11.2006 06:06 679.424 inetcomm.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
20.10.2006 02:38 715.776 sxs.dll
17.10.2006 12:06 443.904 html.iec
17.10.2006 12:06 78.336 ieencode.dll
17.10.2006 12:05 206.336 WinFXDocObj.exe
17.10.2006 12:05 1.817.088 inetcpl.cpl
17.10.2006 12:05 105.984 url.dll
17.10.2006 12:05 40.960 licmgr10.dll
17.10.2006 12:05 192.000 msrating.dll
17.10.2006 12:04 101.376 occache.dll
17.10.2006 12:03 17.408 corpol.dll
17.10.2006 12:00 491.520 jscript.dll
17.10.2006 11:58 12.288 msfeedssync.exe
17.10.2006 11:58 61.952 icardie.dll
17.10.2006 11:58 44.544 pngfilt.dll
17.10.2006 11:58 346.624 dxtmsft.dll
17.10.2006 11:57 36.352 imgutil.dll
17.10.2006 11:57 214.528 dxtrans.dll
17.10.2006 11:57 266.752 iertutil.dll
17.10.2006 11:56 45.568 mshta.exe
17.10.2006 11:55 66.560 tdc.ocx
17.10.2006 11:28 48.128 mshtmler.dll
17.10.2006 11:27 380.928 ieapfltr.dll
17.10.2006 11:19 1.383.424 mshtml.tlb
16.10.2006 12:19 270.336 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
10.10.2006 08:54 50.688 nmwcdcls.dll
systemtemp.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\DOKUME~1\Adam\LOKALE~1\Temp

11.01.2007 16:27 5.283 jusched.log
11.01.2007 15:33 47 ssd32.a2.exe.conf
11.01.2007 15:32 23.552 95exssd32.a2.exe
11.01.2007 15:32 49 modul32g.2.exe.conf
11.01.2007 15:32 44 hdd.y.exe.conf
11.01.2007 15:25 0 ifd38.tmp
11.01.2007 15:24 0 hat37.tmp
11.01.2007 15:23 0 34u36.tmp
11.01.2007 14:54 874 java_install_reg.log
11.01.2007 11:52 48.128 33exmodul32g.2.exe
11.01.2007 09:30 23.536 java_install.log
11.01.2007 09:29 1.156 jinstall.cfg
10.01.2007 22:16 114.688 ~DFB511.tmp
10.01.2007 22:10 98.304 ~DFCED3.tmp
10.01.2007 22:09 98.304 ~DF4501.tmp
10.01.2007 18:24 85.470 lnames.txt.cab
10.01.2007 18:24 187.993 lnames.txt
10.01.2007 18:24 28.894 fnames.txt.cab
10.01.2007 18:24 88.071 fnames.txt
10.01.2007 18:24 43 autorun.inf
10.01.2007 18:24 49.152 setup.exe
10.01.2007 18:24 368.243 domains.txt
10.01.2007 18:24 126.354 domains.txt.cab
10.01.2007 18:23 48.128 19exmodul32g.2.exe
10.01.2007 18:07 0 SWVAF.tmp
10.01.2007 17:51 0 SWVA8.tmp
10.01.2007 17:47 0 SWVA4.tmp
10.01.2007 17:44 0 SWVA1.tmp
10.01.2007 17:20 25.600 79exhdd.y.exe
10.01.2007 17:20 25.600 27exhdd.y.exe
10.01.2007 17:20 25.600 44exhdd.y.exe
10.01.2007 17:20 25.600 86exhdd.y.exe
10.01.2007 17:20 25.600 0exhdd.y.exe
10.01.2007 17:20 25.600 85exhdd.y.exe
10.01.2007 17:20 25.600 45exhdd.y.exe
10.01.2007 16:01 1.787 Office XP Professional mit FrontPage Setup(0001).txt
10.01.2007 14:53 0 fbv1B.tmp
10.01.2007 14:53 0 5nu1A.tmp
10.01.2007 14:53 0 b3p19.tmp
10.01.2007 14:40 0 $A.tmp
10.01.2007 14:40 0 uis9.tmp
10.01.2007 14:37 0 $4.tmp
10.01.2007 14:37 0 uis3.tmp
43 Datei(en) 1.577.300 Bytes
0 Verzeichnis(se), 22.116.388.864 Bytes frei
windows.txt

Zitat

Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS

11.01.2007 16:23 6.104 ModemLog_Bluetooth DUN Modem.txt
11.01.2007 16:23 6.098 ModemLog_Bluetooth Fax Modem.txt
11.01.2007 16:23 0 0.log
11.01.2007 16:23 159 wiadebug.log
11.01.2007 16:23 50 wiaservc.log
11.01.2007 16:22 2.048 bootstat.dat
11.01.2007 16:21 32.630 SchedLgU.Txt
11.01.2007 16:21 1.072 WindowsUpdate.log
11.01.2007 15:30 763 win.ini
10.01.2007 22:17 18 sys386r.dat
10.01.2007 18:08 290.816 Setup1.exe
10.01.2007 18:08 74.752 ST6UNST.EXE
10.01.2007 17:48 5.000 HProt
10.01.2007 14:40 18 sys386hi.dat
10.01.2007 14:27 227 system.ini
10.01.2007 14:27 670 win.tmp
10.01.2007 14:27 227 system.tmp
10.01.2007 14:07 400 ODBC.INI
10.01.2007 13:33 4.359 ODBCINST.INI
09.01.2007 22:58 32 weitere.INI
09.01.2007 10:59 10 hxprot3
06.01.2007 20:05 1.409 QTFont.for
06.01.2007 20:05 54.156 QTFont.qfn
01.01.2007 21:39 116 NeroDigital.ini
01.01.2007 21:31 0 iPlayer.INI
29.12.2006 17:00 60 AlphaPlayer.INI
16.12.2006 13:36 69 gvcasinos.ini
16.08.2006 12:00 340 LEXSTAT.INI
12.07.2006 22:29 8.620 mozver.dat
13.06.2006 17:37 1.075.877 setupapi.log.1.old
29.04.2006 17:44 2.359.350 Firefox Wallpaper.bmp
28.02.2006 00:23 1.998 ModemLog_Smart Link 56K Modem.txt
15.02.2006 14:40 2.359.350 ACD Hintergrund.bmp
29.11.2005 15:41 68.865 hpoins05.dat
21.11.2005 12:05 1.125 winamp.ini
27.10.2005 16:41 468.480 WRUninstall.dll
24.10.2005 17:21 43 gswin32.ini
21.10.2005 15:55 155.648 ssleay32.dll
21.10.2005 15:55 684.032 libeay32.dll
03.10.2005 13:23 99.970 UninstallFirefox.exe
down.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.08.2005 14:57 495 LegitCheckControl.inf
18.11.2004 09:49 77.824 sdd.dll
20.08.2004 22:03 65 desktop.ini
16.06.2004 05:02 323.584 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
7 Datei(en) 624.314 Bytes
0 Verzeichnis(se), 22.116.360.192 Bytes frei
c.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\

11.01.2007 16:35 0 sys.txt
11.01.2007 16:34 613 down.txt
11.01.2007 16:34 384 temp.txt
11.01.2007 16:34 384 tmp.txt
11.01.2007 16:33 5.247 system.txt
11.01.2007 16:32 2.417 systemtemp.txt
11.01.2007 16:30 107.011 system32.txt
11.01.2007 16:22 519.491.584 hiberfil.sys
11.01.2007 16:22 780.140.544 pagefile.sys
11.01.2007 15:51 7.382 avenger.txt
10.01.2007 14:27 211 boot.ini
02.01.2007 16:16 181 delunins.bat
04.07.2005 12:48 127 DelUS.bat
26.05.2005 12:42 0 IO.SYS
26.05.2005 12:42 0 MSDOS.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
18 Datei(en) 1.300.059.785 Bytes
0 Verzeichnis(se), 22.116.360.192 Bytes frei
temp.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS\Temp

11.01.2007 16:23 409 WGANotify.settings
11.01.2007 16:22 255 WGAErrLog.txt
10.01.2007 14:30 0 T30DebugLogFile.txt
3 Datei(en) 664 Bytes
0 Verzeichnis(se), 22.116.360.192 Bytes frei
Hijack-This hat dieses hier ausgespuckt:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:29:55, on 11.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Dokumente und Einstellungen\Adam\Desktop\ScheissVirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {70DE7956-479D-4eb7-8641-2B45774C350E} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {156BF4B7-AE3A-4365-BD88-95A75AF8F09D} (HPSDDX Class) - http://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{D86F19E8-B480-4B0F-8193-C2790626B2E1}: NameServer = 192.168.1.1,192.168.1.2
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe



Dieser Beitrag wurde am 11.01.2007 um 17:30 Uhr von karlkani21 editiert.
Seitenanfang Seitenende
12.01.2007, 01:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\run|.nvsvc

Files to delete:
C:\WINDOWS\sys386r.dat
C:\WINDOWS\sys386hi.dat
C:\WINDOWS\gvcasinos.ini
C:\WINDOWS\system\smss.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\ssd32.a2.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\95exssd32.a2.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\modul32g.2.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\hdd.y.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\ifd38.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\hat37.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\34u36.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\33exmodul32g.2.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\jinstall.cfg
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DFB511.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DFCED3.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF4501.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\lnames.txt.cab
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\lnames.txt
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\fnames.txt.cab
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\fnames.txt
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\autorun.inf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\setup.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\domains.txt
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\domains.txt.cab
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\19exmodul32g.2.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\SWVAF.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\SWVA8.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\SWVA4.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\SWVA1.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\79exhdd.y.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\27exhdd.y.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\44exhdd.y.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\86exhdd.y.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\0exhdd.y.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\85exhdd.y.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\45exhdd.y.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\fbv1B.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\5nu1A.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b3p19.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\$A.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\uis9.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\$4.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\uis3.tmp
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt
««
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2007, 09:01
karlkani21
...neu hier

Beiträge: 6
#22 Also hier der Report was mit die listen.bat ausgespuckt hat

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temporary Internet Files\Content.IE5

12.01.2007 11:25 3.833.856 index.dat
1 Datei(en) 3.833.856 Bytes
0 Verzeichnis(se), 22.114.639.872 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp

12.01.2007 11:25 <DIR> .
12.01.2007 11:25 <DIR> ..
11.01.2007 17:09 0 0e37.tmp
11.01.2007 17:12 0 25cC.tmp
11.01.2007 17:08 0 7y95.tmp
11.01.2007 17:13 0 94xD.tmp
11.01.2007 17:09 0 9hi8.tmp
11.01.2007 17:10 0 bjh9.tmp
10.01.2007 18:07 <DIR> ckzc883d9
11.01.2007 17:13 0 coaF.tmp
11.01.2007 17:09 0 ddg6.tmp
11.01.2007 17:58 <DIR> e4j47.tmp_dir10802
11.01.2007 17:11 0 g3yA.tmp
11.01.2007 17:58 <DIR> hsperfdata_Adam
11.01.2007 17:14 0 il910.tmp
11.01.2007 10:45 <DIR> is-15CAE.tmp
11.01.2007 17:11 0 izvB.tmp
11.01.2007 09:30 23.536 java_install.log
11.01.2007 14:54 874 java_install_reg.log
12.01.2007 11:19 5.802 jusched.log
10.01.2007 16:01 1.787 Office XP Professional mit FrontPage Setup(0001).txt
12.01.2007 11:19 <DIR> plugtmp
11.01.2007 17:07 0 s1f3.tmp
11.01.2007 17:13 0 sbqE.tmp
11.01.2007 17:37 <DIR> VBE
11.01.2007 17:07 0 vq04.tmp
11.01.2007 17:05 0 why2.tmp
19 Datei(en) 31.999 Bytes
8 Verzeichnis(se), 22.114.635.776 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS\Temp

12.01.2007 11:25 <DIR> .
12.01.2007 11:25 <DIR> ..
10.01.2007 14:30 0 T30DebugLogFile.txt
12.01.2007 11:24 255 WGAErrLog.txt
12.01.2007 11:25 409 WGANotify.settings
3 Datei(en) 664 Bytes
2 Verzeichnis(se), 22.114.635.776 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\Temp

03.01.2007 16:54 <DIR> .
03.01.2007 16:54 <DIR> ..
29.11.2005 15:38 <DIR> HP_WebRelease
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 22.114.635.776 Bytes frei
Und das hat kaspersky ausgespuckt

Zitat

------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 12. Januar 2007 19:10:52
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 12/01/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 243542
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 71706
Viren gefunden: 4
Infizierte Objekte gefunden: 10 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:21:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\avenger\backup.zip/avenger/19exmodul32g.2.exe Infizierte Objekte: Trojan-Proxy.Win32.Horst.ue übersprungen
C:\avenger\backup.zip/avenger/33exmodul32g.2.exe Infizierte Objekte: Trojan-Proxy.Win32.Horst.ue übersprungen
C:\avenger\backup.zip/avenger/95exssd32.a2.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.aj übersprungen
C:\avenger\backup.zip/avenger/setup.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.aii übersprungen
C:\avenger\backup.zip ZIP: infiziert - 4 übersprungen
C:\Dokumente und Einstellungen\Adam\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Eigene Dateien\Downloads\www.torrents-and-more.to...WiSO.Mein.Geld.2006.Professional.v7.02.00.38.GERMAN.ISO-TBE\Bizarre Sex 11.wmv Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\hsperfdata_Adam\3164 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP531\A0087272.exe/crack.exe/stream/data0006 Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bjt übersprungen
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP531\A0087272.exe/crack.exe/stream Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bjt übersprungen
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP531\A0087272.exe/crack.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bjt übersprungen
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP531\A0087272.exe ZIP: infiziert - 3 übersprungen
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP531\A0087473.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.aii übersprungen
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP534\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Danke schonmal für deine Hilfe Sabina!
Seitenanfang Seitenende
13.01.2007, 16:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 karlkani21

1.
Avenger: kopiere rein

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\0e37.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\25cC.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\7y95.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\94xD.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\9hi8.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\bjh9.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\coaF.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\ddg6.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\g3yA.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\il910.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\izvB.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\s1f3.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\sbqE.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\vq04.tmp
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\why2.tmp

Folders to delete:
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\ckzc883d9
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temp\e4j47.tmp_dir10802
2.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

3.
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 09:03
karlkani21
...neu hier

Beiträge: 6
#24 das kam bei der find_stuff.bat

Zitat

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000069cb

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ"
"C:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus.exe"
"C:\\Programme\\Overnet\\overnet.exe"="C:\\Programme\\Overnet\\overnet.exe:*:Enabled:Overnet Application"
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows® NetMeeting®"
"C:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\xchat\\xchat.exe"="C:\\Programme\\xchat\\xchat.exe:*:Enabled:XChat IRC Client"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Activision Value\\World Series of Poker TOC\\WSOPTOC.exe"="C:\\Programme\\Activision Value\\World Series of Poker TOC\\WSOPTOC.exe:*:Enabled:WSOPTOC"
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\eMule.de 0.46c v17\\emule.exe"="C:\\Programme\\eMule.de 0.46c v17\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"6883:TCP"="6883:TCP:*:Enabled:azureus"
"1900:UDP"="1900:UDP:LocalSubNet;)isabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet;)isabled:@xpsp2res.dll,-22008"
"50815:TCP"="50815:TCP:*:Enabled:Torrent"
"50815:UDP"="50815:UDP:*:Enabled:torrent2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


Seitenanfang Seitenende
14.01.2007, 13:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 karlkani21

1.
Avenger
(Kopiere rein)

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\svchost.exe

2.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 18:59
karlkani21
...neu hier

Beiträge: 6
#26 So das hat Kaspersky gerade augespuckt

Zitat

------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 14. Januar 2007 18:56:25
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 14/01/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 243905
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 57354
Viren gefunden: 4
Infizierte Objekte gefunden: 12 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:42:03

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/0exhdd.y.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.ak übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/19exmodul32g.2.exe Infizierte Objekte: Trojan-Proxy.Win32.Horst.ue übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/27exhdd.y.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.ak übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/33exmodul32g.2.exe Infizierte Objekte: Trojan-Proxy.Win32.Horst.ue übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/44exhdd.y.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.ak übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/45exhdd.y.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.ak übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/79exhdd.y.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.ak übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/85exhdd.y.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.ak übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/86exhdd.y.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.ak übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/95exssd32.a2.exe Infizierte Objekte: Trojan-Downloader.Win32.Horst.aj übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip/avenger/setup.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.aii übersprungen
C:\avenger\backup-14.01.2007- 8.53.43,90.zip ZIP: infiziert - 11 übersprungen
C:\Dokumente und Einstellungen\Adam\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007011420070115\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Adam\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP536\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Seitenanfang Seitenende
14.01.2007, 19:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 es scheint, ich habe das richtige in den avenger gepackt ;)
loesche: C:\avenger\backup-14.01.2007- 8.53.43,90.zip + leere den Papierkorb, dann sollte wieder alles i.o. sein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 20:55
karlkani21
...neu hier

Beiträge: 6
#28 Juhu...es ist wieder alles In Ordnung.
Vielen dank Sabina.

Hab mal ein bisschen Werbung für dieses Board in unserem Studentennetzwerk gemacht!

http://www.unihelp.de/posts.php?boardid=1&threadid=112544&fachselect=&temp_topic=forum&startseite=1000
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12