Problem: Win32.Qhost.df - nicht wegzubekommen, weitere Probleme

#0
25.05.2006, 11:48
Member

Beiträge: 25
#1 Bitte um Hilfe:
Import alter Registrierung wird abgebrochen - Zugriff verweigert
Aol Security findet immer wieder Win32.Qhost.df
Internet Explorer sind "Ansicht Symbolleisten" grau hinterlegt - Bei Aufrufen über Google wird auf eine IP 85.255.114.114 gelinkt.
Cleanup läßt bei den Einstellungen "prefetch Files" nicht zu, grau hinterlegt
Spybot findet nix
Antivir läßt sich nicht mehr starten ( grau hinterlegt )
Neuester Fehler: CD-Rom Laufwerke werden bei Systemsatrt nicht mehr angezeigt

Logfile of HijackThis v1.99.1
Scan saved at 11:53:01, on 25.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1147854638\ee\AOLSoftware.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\programme\gemeinsame dateien\aol\1147854638\ee\services\antiSpywareApp\ver2_0_25_1\AOLSP Scheduler.exe
c:\programme\gemeinsame dateien\aol\1147854638\ee\aolsoftware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Mandy\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1147854638\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dmlyc.exe] C:\WINNT\system32\dmlyc.exe
O4 - HKLM\..\Run: [dmrsf.exe] C:\WINNT\system32\dmrsf.exe

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FriFax32.exe.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FriFon32.exe.lnk = C:\Programme\FRITZ!\FriFon32.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Partypoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\Gemeinsame Dateien\AOL\AOL Privacy Protection\\aolserv.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe


Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\

25.05.2006 12:14 0 sys.txt
25.05.2006 12:14 7.148 system.txt
25.05.2006 12:14 509 systemtemp.txt
25.05.2006 12:14 100.197 system32.txt
25.05.2006 11:33 45.554.579 debug.txt
25.05.2006 11:32 805.306.368 pagefile.sys
13.03.2006 19:24 213 Expiration.Log
20.07.2005 18:29 683 devicetable.log
03.02.2005 12:42 13.030 PDOXUSRS.NET
26.01.2005 17:21 603.360 sevinst.exe
22.12.2004 20:42 192 boot.ini
07.11.2004 22:00 4.757 CLDMA.LOG
29.10.2004 18:03 0 AUTOEXEC.BAT
29.10.2004 18:03 0 CONFIG.SYS
29.10.2004 18:03 0 IO.SYS
29.10.2004 18:03 0 MSDOS.SYS
20.06.2003 14:00 34.724 NTDETECT.COM
20.06.2003 14:00 150.528 arcldr.exe
20.06.2003 14:00 163.840 arcsetup.exe
20.06.2003 14:00 216.096 ntldr
20 Datei(en) 852.156.224 Bytes
0 Verzeichnis(se), 10.779.774.976 Bytes frei

Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\WINNT

25.05.2006 11:47 716 win.ini
25.05.2006 11:36 15.822 setupapi.log
25.05.2006 11:33 922.570 WindowsUpdate.log
25.05.2006 11:31 32.600 SchedLgU.Txt
24.05.2006 17:45 5.626 Fix IE Log.txt
24.05.2006 16:40 11.240 Active Setup Log.txt
24.05.2006 16:33 993 Active Setup Log.BAK
24.05.2006 12:49 155 winamp.ini
17.05.2006 09:38 6.400 balloon.wav
17.05.2006 09:38 4.334 rdt.ini

28.04.2006 19:09 139 ChssBase.ini
26.04.2006 10:18 1.031 HBCIKRNL.INI
26.04.2006 10:06 37 SCARDSRV.INI
26.04.2006 10:06 2.016 SCARDLOG.TDG
09.04.2006 11:35 5.978 cdplayer.ini
04.04.2006 00:06 675 Clean! presets.set
14.03.2006 02:39 1.371.804 ShellIconCache
12.03.2006 13:08 10 popcinfo.dat
14.02.2006 11:14 153 civ.ini
13.02.2006 02:46 1.801 Sti_Trace.log
07.02.2006 22:14 2.614 unins000.dat
07.02.2006 22:14 641.021 unins000.exe

Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\WINNT\system32

25.05.2006 11:33 180.256 Status.MPF
24.05.2006 16:05 1.068 ikhcore.log
23.05.2006 10:56 2.076 ModemLog_AVM ISDN BTX.txt
23.05.2006 10:56 2.101 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
23.05.2006 10:56 1.928 ModemLog_AVM ISDN Custom Config.txt
23.05.2006 10:56 2.081 ModemLog_AVM ISDN FAX (G3).txt
23.05.2006 10:56 2.086 ModemLog_AVM ISDN - ISDN (X.75).txt
23.05.2006 10:56 2.107 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
23.05.2006 10:56 2.087 ModemLog_AVM ISDN Mailbox (X.75).txt
23.05.2006 10:56 2.092 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
23.05.2006 10:56 2.097 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
12.05.2006 17:43 100.352 dfrg.msc
03.05.2006 21:26 5.818.784 MRT.exe
22.04.2006 15:11 16.384 Perflib_Perfdata_374.dat
03.04.2006 17:04 2.780 qtplugin.log
24.03.2006 01:53 2.386.192 SHELL32.DLL
18.03.2006 15:21 21.264 verclsid.exe
18.01.2006 14:05 57.344 avsda.dll
14.12.2005 12:17 100 LuResult.txt

Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\DOKUME~1\Mandy\LOKALE~1\Temp

25.05.2006 12:05 7.070 hijackthis.log
25.05.2006 11:47 4 PMShared
25.05.2006 11:33 1.501 jusched.log
25.05.2006 11:30 0 jupdate1.5.0.xml
23.01.2006 15:36 429 datFind.bat
5 Datei(en) 9.004 Bytes
0 Verzeichnis(se), 10.779.836.416 Bytes frei



Ich hoffe es kann jemand helfen - bin schon ganz fertig.
Dieser Beitrag wurde am 25.05.2006 um 12:08 Uhr von Zerberus editiert.
Seitenanfang Seitenende
25.05.2006, 15:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Zerberus

1.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next

poste das log

------------------
2.
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2006, 16:43
Member

Themenstarter

Beiträge: 25
#3 Zunächst mal danke dass du mir helfen willst -

zu1.

05/25/06 17:45:23 [Info]: BlackLight Engine 1.0.36 initialized
05/25/06 17:45:23 [Info]: OS: 5.0 build 2195 (Service Pack 4)
05/25/06 17:45:23 [Note]: 7019 4
05/25/06 17:45:23 [Note]: 7005 0
05/25/06 17:45:24 [Note]: 7006 0
05/25/06 17:45:24 [Note]: 7011 1268
05/25/06 17:45:24 [Note]: 7026 0
05/25/06 17:45:24 [Note]: 7026 0
05/25/06 17:45:27 [Note]: FSRAW library version 1.7.1015
05/25/06 17:45:49 [Info]: Hidden file: c:\Programme\CyberLink\PowerDVD\cltest.exe
05/25/06 17:45:49 [Note]: 10002 1
05/25/06 17:46:40 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\40\bin\tcptest.
05/25/06 17:46:40 [Note]: 10002 1
05/25/06 17:47:59 [Info]: Hidden file: c:\WINNT\system32\dmcpt.exe
05/25/06 17:47:59 [Note]: 7002 32
05/25/06 17:47:59 [Note]: 7003 1
05/25/06 17:47:59 [Note]: 10002 1
05/25/06 17:47:59 [Info]: Hidden file: c:\WINNT\system32\filesafer23.exe
05/25/06 17:47:59 [Note]: 10002 1
05/25/06 17:48:02 [Info]: Hidden file: c:\WINNT\system32\csxqt.exe
05/25/06 17:48:02 [Note]: 7002 32
05/25/06 17:48:02 [Note]: 7003 1
05/25/06 17:48:02 [Note]: 10002 1
05/25/06 17:48:04 [Info]: Hidden file: c:\WINNT\system32\favset.exe
05/25/06 17:48:04 [Note]: 10002 1
05/25/06 17:48:05 [Info]: Hidden file: c:\WINNT\system32\pppcgm.exe
05/25/06 17:48:05 [Note]: 10002 1
05/25/06 17:48:44 [Info]: Hidden file: c:\WINNT\system32\wbem\wbemtest.exe
05/25/06 17:48:44 [Note]: 10002 1
05/25/06 17:48:47 [Note]: 2000 1006
05/25/06 17:50:07 [Note]: 7007 0


zu 2.

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ArchiCrypt Shredder3" = (empty string)
"ArchiCrypt Monitor" = (empty string)
"ArchiCrypt Secure D Zone" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"HTpatch" = "C:\WINNT\htpatch.exe" [null data]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"MPFExe" = "C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" ["McAfee Security"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0\bin\jusched.exe" ["Sun Microsystems, Inc."]
"EPSON Stylus C86 Series" = "C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"" ["SEIKO EPSON CORPORATION"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup" [MS]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1147854638\ee\AOLSoftware.exe" ["America Online, Inc."]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["America Online, Inc"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"AOL Spyware Protection" = ""C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"" [file not found]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" [file not found]
"dmlyc.exe" = "C:\WINNT\system32\dmlyc.exe" [file not found]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NeroCheck" = "C:\WINNT\system32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" [file not found]
"SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [file not found]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe" [file not found]
"dmcpt.exe" = "C:\WINNT\system32\dmcpt.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Pest Cleaning" = ""C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\UserProfiles\All Users\antiSpyware\dat\ppclean.exe" "clean" "silent" "bridge" "2"" ["Computer Associates"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Companion BHO"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [file not found]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\system32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{FD2DE497-86AF-41E5-82FB-1DEEBF880C4C}" = "ArchiCrypt Shredder3 ShellExtension"
-> {HKLM...CLSID} = "ArchiCrypt Shredder3 ShellExtension"
\InProcServer32\(Default) = "C:\Programme\ArchiCryptShredder3\ACSEExt.dll" [null data]
"{EF479680-EA35-4EA9-B093-7114F3E3E0DA}" = "Directory Lister"
-> {HKLM...CLSID} = "ShlMenu Class"
\InProcServer32\(Default) = "C:\Programme\Directory Lister\DirListerExt.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csxqt.exe" [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "ACSBoot.exe autocheck autochk *" [file not found], [file not found], [MS], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! ScCertProp\DLLName = "wlnotify.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" [file not found]
ArchiCryptShredder3\(Default) = "{FD2DE497-86AF-41E5-82FB-1DEEBF880C4C}"
-> {HKLM...CLSID} = "ArchiCrypt Shredder3 ShellExtension"
\InProcServer32\(Default) = "C:\Programme\ArchiCryptShredder3\ACSEExt.dll" [null data]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" [file not found]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
Seitenanfang Seitenende
25.05.2006, 18:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Zerberus

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden
Die Datei "fixme.reg" auf dem Desktop doppelklicken - und der Registry beifuegen mit ja

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmcpt.exe"=-
"dmlyc.exe"=-
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

Zitat

c:\WINNT\system32\dmcpt.exe
c:\WINNT\system32\csxqt.exe
c:\WINNT\system32\filesafer23.exe
c:\WINNT\system32\csxqt.exe
c:\WINNT\system32\favset.exe
c:\WINNT\system32\pppcgm.exe
c:\WINNT\balloon.wav
c:\WINNT\rdt.ini
pc neustarten

**
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

**
Hoster.zip anwenden
http://www.funkytoad.com/download/hoster.zip

**
scanne und poste den scanreporT
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2006, 20:30
Member

Themenstarter

Beiträge: 25
#5 Pocket Killbox version 2.0.0.648
Running on Windows 2000 as Manfred(Administrator)
was started @ Donnerstag, Mai 25, 2006, 9:12 PM

# 1 [Delete on Reboot]
Path = c:\WINNT\system32\dmcpt.exe


# 2 [Delete on Reboot]
Path = c:\WINNT\system32\dmcpt.exe


# 3 [Delete on Reboot]
Path = c:\WINNT\system32\csxqt.exe


# 4 [Delete on Reboot]
Path = c:\WINNT\system32\filesafer23.exe


# 5 [Delete on Reboot]
Path = c:\WINNT\system32\dmcpt.exe


# 6 [Delete on Reboot]
Path = c:\WINNT\system32\csxqt.exe


# 7 [Delete on Reboot]
Path = c:\WINNT\system32\favset.exe


# 8 [Delete on Reboot]
Path = c:\WINNT\system32\pppcgm.exe


# 9 [Delete on Reboot]
Path = c:\WINNT\balloon.wav


# 10 [Delete on Reboot]
Path = c:\WINNT\rdt.ini


I Rebooted @ 9:18:33 PM



Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C534723ACAC8-132B-7524-CE63-19A20DD8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\idbmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
"dmlyc.exe"=-
"dmbdi.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...
* csr.exe C:\WINNT\System32\CSOGO.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINNT\SYSTEM32\CSOGO.EXE 51.210 2006-05-17
C:\WINNT\SYSTEM32\DMBDI.EXE 61.965 2003-06-20

soweit durchgeführt -
aber nun Hoster.zip, mit welchen Einstellungen, bzw was durchführen, bevor ich was falsch mache frage ich lieber noch einmal ?
Seitenanfang Seitenende
25.05.2006, 21:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 einfach klicken, wo gesagt wird, man soll den Originalzustand der Hosts wiederherstellen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2006, 21:59
Member

Themenstarter

Beiträge: 25
#7 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:16:32, 25.05.2006
+ Report-Checksumme: E5F631D7

+ Scanergebnis:

C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@adtech[1].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@c.goclick[2].txt -> TrackingCookie.Goclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@ehg-sbstechnologies.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-1644491937-630328440-725345543-1000\Dc10.exe -> Adware.Msnagent : Gesäubert mit Backup


::Report Ende

Boah, nun mal dir ein Riesen-Danke schön !
Ich glaube es hat funktioniert-
IE Leiste wieder konfigurierbar, keine Verlinkung mehr!

Einziges restliches Problem: die CD-Laufwerke werden nicht mehr erkannt, Fehlercode 31 unter Systemsteuerung-System-Hardware-Geräte-Manager, aber das werde ich hoffentlich auch wieder in den Griff kriegen.

Ich lern auch was draus:
Keine Active X mehr,
werde auf Opera umsteigen
und dich ansonsten einfach weiterempfehlen.

Viele herzliche Grüße
Zerberus
Seitenanfang Seitenende
26.05.2006, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen ....soweit sie noch vorhanden sind....-- Button "Fix checked" -- PC neustarten


Zitat

O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [dmlyc.exe] C:\WINNT\system32\dmlyc.exe
O4 - HKLM\..\Run: [dmrsf.exe] C:\WINNT\system32\dmrsf.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Partypoker\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
PC neustarten

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
+
die 4 Logs von datfindbat

-------------

Hardware ist nicht mein Fach, aber versuche es mal mit:

Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.05.2006, 08:15
Member

Themenstarter

Beiträge: 25
#9 hijack this bringt nun plötzlich folgende Meldung:

---------------------------
HijackThis
---------------------------
For some reason your system denied write access to the Hosts file.

If any hijacked domains are in this file, HijackThis may NOT be able to fix this.



If that happens, you need to edit the file yourself. To do this, click Start, Run and type:



notepad "C:\WINNT\System32\drivers\etc\hosts"



and press Enter. Find the line(s) HijackThis reports and delete them. Save the file as "hosts." (with quotes), and reboot.
---------------------------
OK
---------------------------
ich habe dann start-ausführen-wie beschrieben gemacht und folgendes bekommen:

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost



nächste Meldung war dann:
---------------------------
HijackThis
---------------------------
An unexpected error has occurred at procedure: modMain_CheckOther1Item()

Error #75 - Path/File access error



Please email me at merijn@spywareinfo.com, reporting the following:

* What you were trying to fix when the error occurred, if applicable

* How you can reproduce the error

* A complete HijackThis scan log, if possible



Windows version: Windows NT 5.00.2195

MSIE version: 6.0.2800.1106

HijackThis version: 1.99.1



This message has been copied to your clipboard.

Click OK to continue the rest of the scan.
---------------------------
OK
---------------------------
und dann den Rest:

Logfile of HijackThis v1.99.1
Scan saved at 09:19:40, on 26.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Gemeinsame Dateien\AOL\1147854638\ee\AOLSoftware.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\programme\gemeinsame dateien\aol\1147854638\ee\services\antiSpywareApp\ver2_0_25_1\AOLSP Scheduler.exe
C:\Programme\FRITZ!\FriFon32.exe
c:\programme\gemeinsame dateien\aol\1147854638\ee\aolsoftware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Mandy\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1147854638\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FriFax32.exe.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FriFon32.exe.lnk = C:\Programme\FRITZ!\FriFon32.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\Gemeinsame Dateien\AOL\AOL Privacy Protection\\aolserv.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Unknown owner - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

-------------

Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\WINNT\system32

26.05.2006 09:07 184.384 Status.MPF
25.05.2006 16:39 129.296 FNTCACHE.DAT
24.05.2006 16:05 1.068 ikhcore.log
23.05.2006 10:56 2.076 ModemLog_AVM ISDN BTX.txt
23.05.2006 10:56 2.101 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
23.05.2006 10:56 2.081 ModemLog_AVM ISDN FAX (G3).txt
23.05.2006 10:56 1.928 ModemLog_AVM ISDN Custom Config.txt
23.05.2006 10:56 2.107 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
23.05.2006 10:56 2.086 ModemLog_AVM ISDN - ISDN (X.75).txt
23.05.2006 10:56 2.097 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
23.05.2006 10:56 2.087 ModemLog_AVM ISDN Mailbox (X.75).txt
23.05.2006 10:56 2.092 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
17.05.2006 09:38 51.210 csogo.exe
12.05.2006 17:43 100.352 dfrg.msc
03.05.2006 21:26 5.818.784 MRT.exe
22.04.2006 15:11 16.384 Perflib_Perfdata_374.dat
03.04.2006 17:04 2.780 qtplugin.log
24.03.2006 01:53 2.386.192 SHELL32.DLL
18.03.2006 15:21 21.264 verclsid.exe
14.12.2005 12:17 100 LuResult.txt

Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\DOKUME~1\Mandy\LOKALE~1\Temp

26.05.2006 09:19 8.081 hijackthis.log
26.05.2006 09:15 284 MSI96317.LOG
26.05.2006 09:15 284 MSI96316.LOG
26.05.2006 09:15 284 MSI96315.LOG
26.05.2006 09:15 284 MSI96314.LOG
26.05.2006 09:15 284 MSI96313.LOG
26.05.2006 09:06 7.534 jusched.log
26.05.2006 08:58 284 MSI23e99.LOG
26.05.2006 08:58 284 MSI23e98.LOG
26.05.2006 08:58 284 MSI23e97.LOG
26.05.2006 08:58 284 MSI23e96.LOG
26.05.2006 08:58 284 MSI23e95.LOG
26.05.2006 08:38 284 MSIed409.LOG
26.05.2006 08:38 284 MSIed408.LOG
26.05.2006 08:38 284 MSIed407.LOG
26.05.2006 08:38 284 MSIed406.LOG
26.05.2006 08:38 284 MSIed405.LOG
26.05.2006 08:27 284 MSI4c0a0.LOG
26.05.2006 08:27 284 MSI4c09f.LOG
26.05.2006 08:27 284 MSI4c09e.LOG
26.05.2006 08:27 284 MSI4c09d.LOG
25.05.2006 23:39 1.980 57.tmp
25.05.2006 23:10 1.980 4.tmp
25.05.2006 21:12 16.384 ~DFBE6C.tmp
25.05.2006 19:28 18.896 MSI2f2e5.LOG
25.05.2006 19:28 18.896 MSI2f2e4.LOG
25.05.2006 19:25 18.894 MSI3220.LOG
25.05.2006 19:25 18.894 MSI321f.LOG
25.05.2006 19:25 18.894 MSI321e.LOG
25.05.2006 16:42 4 PMShared
25.05.2006 12:53 32.768 MMCF.tmp
25.05.2006 12:53 32.768 MMCE.tmp
25.05.2006 12:40 1.980 5.tmp
25.05.2006 11:30 0 jupdate1.5.0.xml
08.02.2006 03:02 73.728 KillBox.exe
30.01.2006 02:23 28.672 58.tmp
30.01.2006 02:23 28.672 7.tmp
30.01.2006 02:23 28.672 9.tmp
23.01.2006 15:36 429 datFind.bat
39 Datei(en) 363.522 Bytes
0 Verzeichnis(se), 10.704.654.336 Bytes frei


Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\WINNT

26.05.2006 09:06 972.859 WindowsUpdate.log
26.05.2006 09:04 32.600 SchedLgU.Txt
25.05.2006 23:35 345 OEWABLog.txt
25.05.2006 23:35 363 wmsetup.log
25.05.2006 23:27 38.657 setupapi.log
25.05.2006 16:42 716 win.ini
25.05.2006 16:30 25.320 ntbtlog.txt
25.05.2006 15:09 139 ChssBase.ini
24.05.2006 17:45 5.626 Fix IE Log.txt
24.05.2006 16:40 11.240 Active Setup Log.txt
24.05.2006 16:33 993 Active Setup Log.BAK
24.05.2006 12:49 155 winamp.ini
26.04.2006 10:18 1.031 HBCIKRNL.INI
26.04.2006 10:06 37 SCARDSRV.INI
26.04.2006 10:06 2.016 SCARDLOG.TDG
09.04.2006 11:35 5.978 cdplayer.ini
04.04.2006 00:06 675 Clean! presets.set
14.03.2006 02:39 1.371.804 ShellIconCache
12.03.2006 13:08 10 popcinfo.dat
14.02.2006 11:14 153 civ.ini
13.02.2006 02:46 1.801 Sti_Trace.log
07.02.2006 22:14 2.614 unins000.dat
07.02.2006 22:14 641.021 unins000.exe
21.12.2005 15:37 12.862 EPISMG00.SWB


Datentr„ger in Laufwerk C: ist Programmordner
Datentr„gernummer: 4C77-D072

Verzeichnis von C:\

26.05.2006 09:22 0 sys.txt
26.05.2006 09:21 7.205 system.txt
26.05.2006 09:21 2.258 systemtemp.txt
26.05.2006 09:21 100.197 system32.txt
26.05.2006 09:06 45.572.119 debug.txt
26.05.2006 09:05 805.306.368 pagefile.sys
13.03.2006 19:24 213 Expiration.Log
20.07.2005 18:29 683 devicetable.log


und Panda sagt ich muss Active-X wieder aktivieren ?
mfG
Zerberus
Dieser Beitrag wurde am 26.05.2006 um 08:24 Uhr von Zerberus editiert.
Seitenanfang Seitenende
26.05.2006, 10:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 0.
die Hosts ist o.k.
-------------------------------------------------------------
1.
loesche mit der Killbox
C:\WINNT\SYSTEM32\DMBDI.EXE
C:\WINNT\system32\csogo.exe

2.
PC neustarten

3.
scanne mit Panda und poste den scanreport (fuer die Onlinescans musst du ActiveX aktivieren)...der Rechner ist noch nicht sauber...der Wareout ist leider sehr hartnaeckig...
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.05.2006, 14:16
Member

Themenstarter

Beiträge: 25
#11 Killbox sagt auf Eintrag csogo.exe folgendes

---------------------------
PendingFileRenameOperations
---------------------------
PendingFileRenameOperations Registry Data has been Removed by External Process!
---------------------------
OK
---------------------------
mfG
Seitenanfang Seitenende
26.05.2006, 15:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 dann starte du nach einkopieren der Datei...den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.05.2006, 16:05
Member

Themenstarter

Beiträge: 25
#13 sorry wenn mich ein bisschen anstelle - aber bevor ich was falsch mache frage ich lieber nochmal.

also killbox erledigt mit neustart
panda scan scheitert, trotz aktive x aktiviert
Seitenanfang Seitenende
26.05.2006, 16:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 scanne noch mal mit ewido, aber im abgesicherten Modus und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.05.2006, 17:03
Member

Themenstarter

Beiträge: 25
#15 Nachdenken hilft - ich konnte Panda nicht starten weil ich als eingeschränkter benutzer unterwegs war

Als Admin gings:

Hier der REport:

Incident Status Location

Adware:adware/cws Not disinfected c:\dokumente und einstellungen\all users\favoriten\Download Free Spyware Remover.url
Adware:Adware/Trebuh Not disinfected C:\!KillBox\csogo.exe
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@as-eu.falkag[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@doubleclick[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@ehg-idg.hitbox[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@hitbox[2].txt
Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@realmedia[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@sel.as-eu.falkag[2].txt
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@statcounter[1].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Mandy\Cookies\manfred@statse.webtrendslive[2].txt
Adware:Adware/Trebuh Not disinfected C:\WINNT\system32\csogo.exe
Virus:Trj/dmRandom.AO Disinfected C:\WINNT\system32\dmbdi.exe
Seitenanfang Seitenende