Probleme mit SpyFalcon

#0
25.05.2006, 12:59
...neu hier

Beiträge: 2
#1 hi zusammen, ich hab auch problemem mit spyfalcon.
habe mittlerweile das spyfalcon teil neben der uhr wegbekommen (ewido anti-malware), aber das gelbe dreieck ist noch da und es werden immer wieder browser-fenstern geöffnet mit casinos, pornoseiten oder angeblichen antispyware-seiten.
bitte um hilfe!!!!!!!
danke schonmal im vorraus


Logfile of HijackThis v1.99.1
Scan saved at 13:36:58, on 25.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\ewido anti-malware\ewidoctrl.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\atmclk.exe
F:\WINDOWS\System32\dcomcfg.exe

F:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
F:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
F:\Programme\Netropa\Smart Keyboard\Smartkbd.exe
F:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
F:\Programme\Netropa\Smart Keyboard\MEDIACTR.EXE
F:\Programme\Razer\razerhid.exe
F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\Programme\QuickTime\qttask.exe
F:\WZShutdown\WZshutdown.exe
F:\WINDOWS\System32\RUNDLL32.EXE
F:\Programme\Messenger\msmsgs.exe
F:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
F:\Programme\Razer\razertra.exe
F:\Programme\Razer\razerofa.exe
F:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\teamspeak2_rc2\teamspeak.exe
f:\programme\softwin\bitdefender free edition\bdmcon.exe
C:\Mozilla Firefox\firefox.exe
C:\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Winampp\winamp.exe
F:\Dokumente und Einstellungen\$oliD $n@ke\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - F:\WINDOWS\System32\hp593B.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] F:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] F:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Smart Keyboard] F:\Programme\Netropa\Smart Keyboard\Smartkbd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] F:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] F:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] F:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [razer] F:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [BDMCon] F:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] F:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WZShutdown] F:\WZShutdown\WZshutdown.exe -hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DA00FB4-D21E-44DC-95DE-7C8C53DEE855}: NameServer = 192.168.2.1,192.168.2.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DA00FB4-D21E-44DC-95DE-7C8C53DEE855}: NameServer = 192.168.2.1,192.168.2.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DA00FB4-D21E-44DC-95DE-7C8C53DEE855}: NameServer = 192.168.2.1,192.168.2.100
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - F:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - F:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - F:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe


system32.txt:
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C10-710F

Verzeichnis von F:\WINDOWS\system32

25.05.2006 13:44 5.004 stdole3.tlb
25.05.2006 13:44 50.257 nvapps.xml
25.05.2006 13:44 5.632 simpole.tlb
25.05.2006 13:44 25.088 hp898B.tmp
25.05.2006 12:23 28.685 ld5999.tmp
25.05.2006 12:23 25.088 hp593B.tmp

25.05.2006 01:42 3.284 ANIWZCS{0DA00FB4-D21E-44DC-95DE-7C8C53DEE855}
22.05.2006 12:44 2.184 wpa.dbl
09.05.2006 22:08 25.088 hp5851.tmp
06.05.2006 12:22 16.736 dcomcfg.exe
05.05.2006 14:07 10.036 atmclk.exe
04.05.2006 15:51 4.286 ot.ico
04.05.2006 15:51 4.286 ts.ico
02.05.2006 22:45 33.280 hp538E.tmp
29.04.2006 02:45 15.089 regperf.exe
27.04.2006 17:49 288.417 SrchSTS.exe

17.04.2006 14:32 4.212 zllictbl.dat
11.04.2006 11:57 7.006 jupdate-1.5.0_06-b05.log
10.04.2006 09:28 3.284 ANIWZCS{FA93F316-E1A4-4B7A-80C3-432E2700FF21}
10.04.2006 02:37 348.160 msvcr71.dll
10.04.2006 02:37 499.712 msvcp71.dll
10.04.2006 02:37 1.047.552 mfc71u.dll
10.04.2006 02:37 1.060.864 mfc71.dll


temp.txt:
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C10-710F

Verzeichnis von F:\DOKUME~1\$OLID$~1\LOKALE~1\Temp

25.05.2006 13:35 16.384 ~DF190F.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 1.235.095.552 Bytes frei


windows.txt:
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C10-710F

Verzeichnis von F:\WINDOWS

25.05.2006 13:44 347 smartkbd.ini
25.05.2006 13:44 291 msiosd.ini
25.05.2006 13:27 36 plugSpk.INI
25.05.2006 12:23 0 0.log
25.05.2006 12:23 2.048 bootstat.dat
25.05.2006 03:15 32.582 SchedLgU.Txt
24.05.2006 17:04 160 CTRec.INI
16.05.2006 13:42 871.827 setupapi.log
16.05.2006 13:33 2.622 Ascd_tmp.ini
09.05.2006 21:42 13.114 Windows Update.log
06.05.2006 15:26 216 wiadebug.log
06.05.2006 12:14 50 wiaservc.log
29.04.2006 10:49 616 win.ini
29.04.2006 10:49 227 system.ini
21.04.2006 20:12 921.654 Firefox Wallpaper.bmp
11.04.2006 11:58 657 mozver.dat
10.04.2006 12:23 76.925 DirectX.log
10.04.2006 02:03 37.979 wmsetup.log


c.txt:
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C10-710F

Verzeichnis von F:\

25.05.2006 13:51 0 sys.txt
25.05.2006 13:49 4.677 system.txt
25.05.2006 13:48 295 systemtemp.txt
25.05.2006 13:46 95.777 system32.txt
25.05.2006 12:23 402.653.184 pagefile.sys
29.04.2006 14:03 2.175 rapport.txt
10.04.2006 02:34 193 boot.ini
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 45.124 NTDETECT.COM
18.08.2001 14:00 224.032 ntldr
10 Datei(en) 403.030.409 Bytes
0 Verzeichnis(se), 1.235.111.936 Bytes frei
Dieser Beitrag wurde am 25.05.2006 um 13:57 Uhr von Solid-Snake editiert.
Seitenanfang Seitenende
25.05.2006, 15:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Solid-Snake

1.
Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg --> doppeltklicken ! und der Registry beifuegen mit "ja"

*) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

---------------------------------
2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

Zitat

F:\WINDOWS\system32\stdole3.tlb
F:\WINDOWS\system32\nvapps.xml
F:\WINDOWS\system32\simpole.tlb
F:\WINDOWS\system32\dcomcfg.exe
F:\WINDOWS\system32\atmclk.exe
F:\WINDOWS\system32\ot.ico
F:\WINDOWS\system32\ts.ico
F:\WINDOWS\system32\regperf.exe
F:\WINDOWS\system32\SrchSTS.exe
3.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

4.
suche: C:\!KillBox
und lösche alle dort eventuell befindlichen Dateien manuell

5.
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

--------
6.
boote wieder in den Normalmodus

7.
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

8.
scanne mit superantispyware (free)
http://virus-protect.org/artikel/tools/superantispyware.html

9.
mache die WindowsUpdates.........

10.
berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2006, 13:59
...neu hier

Themenstarter

Beiträge: 2
#3 also jetzt isser weg ;)
danke für die hilfe sabina!!!!!!!!!!!!!
werde euch weiterempfehlen!!!!!! ;)
Seitenanfang Seitenende
29.06.2006, 21:26
Member

Beiträge: 18
#4 also wie mein vorgänger hab ich auch das problem mit spyfalcon
ich hab zuerst versucht das problem mit der anleitung zum löschen in den griff zu bekommen aber ich bleib bei den logfiles hängen und allgemein hab ich eher wenige erfahrungen was solche programme angeht. ich bitte deshalb um nachsicht wenn dumme fragen kommen.
Seitenanfang Seitenende
30.06.2006, 02:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 hallo Loredo

kopiere bitte folgende Logs hier
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.06.2006, 12:12
Member

Beiträge: 18
#6 also mit hijackthis gibts ein problem, weiss nicht wieso aber da öffnet sich keine textdatei danach

hier die anderen logs:

Verzeichnis von C:\WINDOWS\system32

30.06.2006 12:54 5.036 stdole3.tlb
30.06.2006 12:54 601.723 kjkmp.ini
30.06.2006 12:04 9.216 simpole.tlb
30.06.2006 12:04 51.712 hp100.tmp
30.06.2006 12:04 80.384 dcomcfg.exe
30.06.2006 11:13 601.169 kjkmp.bak2
30.06.2006 11:13 1.158 wpa.dbl
30.06.2006 11:13 29.204 nvapps.xml
30.06.2006 11:12 59.917 ld100.tmp
29.06.2006 13:53 11.664 atmclk.exe
24.06.2006 14:38 4.286 ot.ico
24.06.2006 14:38 4.286 ts.ico
23.06.2006 17:17 143 mcrh.tmp
16.06.2006 11:44 663.958 kjkmp.bak1
16.06.2006 11:44 569.396 pmkjk.dll
15.06.2006 14:31 13.312 c41284f.exe
15.06.2006 14:31 71.181 regperf.exe
15.06.2006 14:30 39.437 vtutqop.dll
09.06.2006 03:19 5.967.776 MRT.exe
06.06.2006 20:18 176.128 asxbbx.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
30.05.2006 13:58 176.128 yhbdupd.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
27.05.2006 15:38 52.900 perfc009.dat
27.05.2006 15:38 380.486 perfh009.dat
27.05.2006 15:38 391.330 perfh007.dat
27.05.2006 15:38 63.778 perfc007.dat
27.05.2006 15:38 897.778 PerfStringBackup.INI
27.05.2006 14:53 176.128 oerucu.dll
27.05.2006 14:51 4.096 940c7cba.exe
27.05.2006 14:51 12.162 wineak32.dll
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 285.488 WgaTray.exe
23.05.2006 17:25 402.736 WgaLogon.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
29.04.2006 06:07 5.533.696 wmp.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
14.03.2006 20:20 236.760 FNTCACHE.DAT
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll

Verzeichnis von D:\DOKUME~1\Sascha\LOKALE~1\Temp

30.06.2006 13:05 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20492.html
30.06.2006 13:03 16.384 ~DF9F62.tmp
30.06.2006 13:03 512 ~DF9F6E.tmp
30.06.2006 13:03 16.384 ~DF9F7C.tmp
30.06.2006 13:03 512 ~DF9F88.tmp
30.06.2006 13:03 512 ~DF9FA2.tmp
30.06.2006 13:03 16.384 ~DF9F96.tmp
30.06.2006 13:03 512 ~DF9F54.tmp
30.06.2006 13:03 16.384 ~DF9F48.tmp
30.06.2006 13:00 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}6182.html
30.06.2006 12:15 54.272 ginstall.dll
30.06.2006 11:21 16.384 ~DF8B11.tmp
30.06.2006 11:21 16.384 ~DF7DC7.tmp
30.06.2006 11:21 512 ~DF7DD3.tmp
30.06.2006 11:13 16.384 ~DF7BD5.tmp
30.06.2006 11:13 16.384 ~DF8492.tmp
29.06.2006 20:57 16.384 ~DF67C2.tmp
29.06.2006 16:59 16.384 ~DF9B50.tmp
29.06.2006 16:59 16.384 ~DF8D3E.tmp
29.06.2006 16:59 16.384 ~DFE3BB.tmp
29.06.2006 16:58 16.384 ~DF4C62.tmp
29.06.2006 15:41 16.384 ~DF6BF8.tmp
29.06.2006 15:41 16.384 ~DF602D.tmp
29.06.2006 15:40 16.384 ~DF2E42.tmp
29.06.2006 15:39 16.384 ~DF54E7.tmp
29.06.2006 15:11 16.384 ~DFCE55.tmp
29.06.2006 15:11 16.384 ~DF72E1.tmp
29.06.2006 13:59 16.384 ~DF3736.tmp
29.06.2006 13:51 16.384 ~DF875A.tmp
29.06.2006 07:34 16.384 ~DF4EE8.tmp
28.06.2006 15:34 16.384 ~DF8AC6.tmp
28.06.2006 15:34 16.384 ~DF7E09.tmp
28.06.2006 15:25 16.384 ~DF2F22.tmp
28.06.2006 06:29 16.384 ~DF71A4.tmp
27.06.2006 18:53 16.384 ~DF7359.tmp
27.06.2006 18:08 16.384 ~DF616A.tmp
27.06.2006 15:12 16.384 ~DFFFD9.tmp
27.06.2006 15:12 16.384 ~DFF412.tmp
27.06.2006 14:42 16.384 ~DF7B66.tmp
27.06.2006 06:04 16.384 ~DF77EC.tmp
26.06.2006 22:19 2.496 java_install_reg.log
26.06.2006 15:00 717 control.xml
26.06.2006 13:58 16.384 ~DF41BD.tmp
26.06.2006 06:08 16.384 ~DF7393.tmp
26.06.2006 06:02 16.384 ~DF728D.tmp
25.06.2006 13:08 16.384 ~DF83AA.tmp
25.06.2006 10:42 16.384 ~DF8DAB.tmp
25.06.2006 10:41 16.384 ~DF7379.tmp
24.06.2006 21:35 16.384 ~DF7043.tmp
24.06.2006 19:01 32.723 SQLanguage.ini
24.06.2006 18:56 16.384 ~DF769A.tmp
24.06.2006 16:39 16.384 ~DF7B67.tmp
24.06.2006 15:58 16.384 ~DF674E.tmp
24.06.2006 14:36 16.384 ~DF79AE.tmp
24.06.2006 00:49 17.593 ICQ806.tmp
24.06.2006 00:49 5.846 ICQ805.tmp
21.06.2006 23:01 100 0CF6E057.TMP
17.06.2006 10:21 30.266 a1a5_appcompat.txt
16.06.2006 22:39 72.192 ~e5.0001
14.06.2006 00:18 245 1F1205F7.TMP
10.06.2006 21:59 0 25B8121.dmp
09.06.2006 16:32 25.524 584e_appcompat.txt
09.06.2006 15:33 41.304 9922_appcompat.txt
03.06.2006 19:44 4.953 ICQ226.tmp
03.06.2006 19:44 13.012 ICQ227.tmp
01.06.2006 21:49 12.048 ICQ13F.tmp
01.06.2006 21:49 4.607 ICQ13E.tmp
01.06.2006 21:48 10.444 ICQ13D.tmp
01.06.2006 21:48 4.010 ICQ13C.tmp
01.06.2006 21:48 9.209 ICQ13B.tmp
01.06.2006 21:48 3.716 ICQ13A.tmp
01.06.2006 21:46 10.700 ICQ139.tmp
01.06.2006 21:46 4.237 ICQ138.tmp
01.06.2006 21:46 3.692 ICQ136.tmp
01.06.2006 21:46 9.142 ICQ137.tmp
04.02.2006 11:33 724.992 AutoRun.exe
31.01.2006 04:56 942.080 AutoRunGUI.dll

Verzeichnis von C:\WINDOWS

30.06.2006 12:43 943 WINCMD.INI
30.06.2006 11:12 0 0.log
30.06.2006 11:12 2.048 bootstat.dat
30.06.2006 01:42 1.193.789 WindowsUpdate.log
30.06.2006 01:41 32.632 SchedLgU.Txt
28.06.2006 22:17 69 NeroDigital.ini
26.06.2006 19:27 1.409 QTFont.for
26.06.2006 19:27 54.156 QTFont.qfn
26.06.2006 15:00 71.003 wmsetup.log
24.06.2006 19:27 50 wiaservc.log
24.06.2006 19:27 216 wiadebug.log
23.06.2006 21:24 645.074 setupapi.log
21.06.2006 16:11 56.657 iis6.log
21.06.2006 16:11 128.382 comsetup.log
21.06.2006 16:11 141.243 tsoc.log
21.06.2006 16:11 1.374 imsins.log
21.06.2006 16:11 76.094 ntdtcsetup.log
21.06.2006 16:11 19.695 ocmsn.log
21.06.2006 16:11 11.651 KB911280.log
21.06.2006 16:11 175.065 ocgen.log
21.06.2006 16:11 17.866 msgsocm.log
21.06.2006 16:11 351.640 FaxSetup.log
21.06.2006 16:11 22.049 updspapi.log
18.06.2006 23:10 751 win.ini
18.06.2006 23:10 227 system.ini
18.06.2006 11:08 3.642 spupdsvc.log
18.06.2006 10:48 1.374 imsins.BAK
18.06.2006 10:48 17.608 KB917734.log
18.06.2006 10:48 15.845 KB918439.log
18.06.2006 10:48 15.926 KB917344.log
18.06.2006 10:48 14.884 KB917953.log
18.06.2006 10:48 29.797 KB916281.log
18.06.2006 10:47 12.907 KB914389.log
14.06.2006 15:31 243 IE4 Error Log.txt
08.06.2006 23:54 13.747 WgaNotify.log
28.05.2006 15:07 192.338 setupact.log
28.05.2006 14:37 12.621 WGA.log
20.05.2006 15:52 12.458 KB900485.log
20.05.2006 15:52 14.495 KB913580.log
20.05.2006 15:50 211 uno.ini
22.04.2006 03:34 16.918 KB908531.log
22.04.2006 03:34 15.785 KB911562.log
22.04.2006 03:33 25.102 KB912812.log
22.04.2006 03:33 25.449 KB911565.log
22.04.2006 03:33 12.386 KB911567.log
02.03.2006 21:20 49.212 DirectX.log
166 Datei(en) 43.835.001 Bytes
0 Verzeichnis(se), 22.039.597.056 Bytes frei


Verzeichnis von C:\

30.06.2006 12:54 0 systemtemp.txt
30.06.2006 12:54 102.673 system32.txt
30.06.2006 12:54 937 sys.txt
30.06.2006 12:53 937 system.txt
30.06.2006 11:12 1.073.270.784 hiberfil.sys
30.06.2006 11:12 1.609.801.728 pagefile.sys
18.06.2006 23:10 293 BOOT.INI
28.05.2006 15:06 3.758 smitfiles.txt
23.01.2006 15:36 429 datFind.bat
09.01.2006 22:34 3.148 TDSLCheck.txt
08.01.2006 18:50 155 TO_InstallLog.txt
Dieser Beitrag wurde am 30.06.2006 um 13:09 Uhr von Loredo editiert.
Seitenanfang Seitenende
01.07.2006, 02:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Loredo

poste bitte das log vom Silentrunner
http://virus-protect.org/silentrunner.html

-------------------------------------------------------------------------

1.
wende vundofixan
http://virus-protect.org/artikel/tools/vundofixx.html
(poste den scanreport)

2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Anwendungsdaten\c41284f.exe
C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Anwendungsdaten\940c7cba.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\kjkmp.bak1
C:\WINDOWS\system32\pmkjk.dll
C:\WINDOWS\system32\c41284f.exe
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\vtutqop.dll
C:\WINDOWS\system32\asxbbx.dll
C:\WINDOWS\system32\yhbdupd.dll
C:\WINDOWS\system32\oerucu.dll
C:\WINDOWS\system32\940c7cba.exe
C:\WINDOWS\system32\wineak32.dll
C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temp\ginstall.dll
C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temp\SQLanguage.ini

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den scanreport vom Avenger

**
arbeite smitfraud.fix genau nach Anleitung ab
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann nach der Reinigung wieder aktivieren)
----------------------------------------------------------------------------

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2006, 12:08
Member

Beiträge: 18
#8 Silentrunner log:
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"dcomcfg.exe" = "dcomcfg.exe" [null data]
"wininet.dll" = "regperf.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\system32\atmclk.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AzMixerSel" = "C:\Programme\Realtek\InstallShield\AzMixerSel.exe" ["Realtek Semiconductor Corp."]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"DAEMON Tools-1033" = ""D:\Lan kram\dtools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["T-Online International AG, Marmiko IT-Solutions GmbH"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00A6FAF1-072E-44cf-8957-5838F569A31D}\(Default) = "MyWebSearch Search Assistant BHO"
-> {HKLM...CLSID} = "MyWebSearch Search Assistant BHO"
\InProcServer32\(Default) = "C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL" ["MyWebSearch.com"]
{02552B82-20BF-4C4C-8E56-F5EBBEFCFA3A}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\pmkjk.dll" [null data]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{07B18EA1-A523-4961-B6BB-170DE4475CCA}\(Default) = "mwsBar BHO"
-> {HKLM...CLSID} = "mwsBar BHO"
\InProcServer32\(Default) = "C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL" ["MyWebSearch.com"]
{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Nothing"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hp100.tmp" [null data]
{686a161d-5bd1-4999-8832-6393f41e564c}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Nothing"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hp100.tmp" [null data]
{6ab7158b-4bff-4160-ad7d-4d622df548cf}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Nothing"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hp100.tmp" [null data]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security"
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
{f79fd28e-36ee-4989-aa61-9dd8e30a82fa}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Nothing"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hp100.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{D0CE97A0-415B-42E9-B251-34393AF2D5F6}" = "OmniPass Shell Extension"
-> {HKLM...CLSID} = "Softex OmniPass Encrypted File"
\InProcServer32\(Default) = "C:\Apps\Softex\OmniPass\opfolderext.dll" ["Softex Inc."]
"{D5B1944E-DB4E-482E-B3F1-DB05827F0978}" = "OmniPass ShellNameSpace Extension"
-> {HKLM...CLSID} = "Softex OmniPass Encrypted Folder"
\InProcServer32\(Default) = "C:\Apps\Softex\OmniPass\opfolderext.dll" ["Softex Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Apps\RecordNow\shlext.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "D:\LANKRA~1\ALCINS~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Lan kram\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{336ec37f-54bf-4f13-8237-03f64fa591e7}" = "devisors"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\oerucu.dll" [null data]
INFECTION WARNING! "{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}" = "alongshore"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\yhbdupd.dll" [null data]
INFECTION WARNING! "{5aaf6542-f4ba-4df4-873d-4902ecbe794c}" = "antitragus"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\asxbbx.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! OPXPGina\DLLName = "C:\Apps\Softex\OmniPass\opxpgina.dll" [null data]
INFECTION WARNING! pmkjk\DLLName = "C:\WINDOWS\system32\pmkjk.dll" [null data]
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]
INFECTION WARNING! wineak32\DLLName = "wineak32.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Lan kram\ICQLite\ICQLiteShell.dll" [empty string]
OPShellExt\(Default) = "{D0CE97A0-415B-42E9-B251-34393AF2D5F6}"
-> {HKLM...CLSID} = "Softex OmniPass Encrypted File"
\InProcServer32\(Default) = "C:\Apps\Softex\OmniPass\opfolderext.dll" ["Softex Inc."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Lan kram\ICQLite\ICQLiteShell.dll" [empty string]
OPShellExt\(Default) = "{D0CE97A0-415B-42E9-B251-34393AF2D5F6}"
-> {HKLM...CLSID} = "Softex OmniPass Encrypted File"
\InProcServer32\(Default) = "C:\Apps\Softex\OmniPass\opfolderext.dll" ["Softex Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Sascha" & "All Users" startup folders:
--------------------------------------------------------

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"OnlineControl" -> shortcut to: "C:\Programme\OnlineControl\ocontrol.exe" [null data]


Enabled Scheduled Tasks:
------------------------

"Registrierungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /r /n:1" [MS]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}"
-> {HKLM...CLSID} = "Norton Internet Security"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Lan kram\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {HKLM...CLSID} = "MSN Toolbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security"
-> {HKLM...CLSID} = "Norton Internet Security"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Lan kram\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {HKLM...CLSID} = "MSN Toolbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll" [file not found]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "D:\Lan kram\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Lan kram\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{00A6FAF6-072E-44cf-8957-5838F569A31D}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL" ["MyWebSearch.com"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Generic Service for HID Keyboard Input Collections, GenericHidService, "c:\APPS\HIDSERVICE\HIDSERVICE.exe" [null data]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 47 seconds, including 22 seconds for message boxes)
Seitenanfang Seitenende
01.07.2006, 12:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 nun arbeite alles weitere ab und poste alle Logs.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2006, 12:40
Member

Beiträge: 18
#10 1.
VundoFix V4.2.84

Checking Java version...

Sun Java not detected
Scan started at 12:12:54 01.07.2006

Listing files found while scanning....


C:\WINDOWS\system32\kjkmp.bak1
C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\kjkmp.tmp
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kjkmp.ini2
C:\WINDOWS\system32\pmkjk.dll
C:\WINDOWS\system32\kjkmp.ini2
C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\kjkmp.tmp
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kjkmp.ini2
C:\WINDOWS\system32\pmkjk.dll

VundoFix V4.2.84

Checking Java version...

Sun Java not detected
Scan started at 12:14:20 01.07.2006

Listing files found while scanning....


C:\WINDOWS\system32\kjkmp.bak1
C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\kjkmp.tmp
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kjkmp.ini2
C:\WINDOWS\system32\pmkjk.dll
C:\WINDOWS\system32\kjkmp.ini2
C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\kjkmp.tmp
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kjkmp.ini2
C:\WINDOWS\system32\pmkjk.dll
Attempting to delete C:\WINDOWS\system32\kjkmp.bak1
C:\WINDOWS\system32\kjkmp.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\kjkmp.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\kjkmp.tmp
C:\WINDOWS\system32\kjkmp.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kjkmp.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\kjkmp.ini2
C:\WINDOWS\system32\kjkmp.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\pmkjk.dll
C:\WINDOWS\system32\pmkjk.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V4.2.84

Checking Java version...

Sun Java not detected
Scan started at 12:20:39 01.07.2006

Listing files found while scanning....


No infected files were found.

2.getan

3.problem: wo ist die logfile? und ich habe es aus dem grund 3mal durchlaufen lassen weil danach immer eine leere arvenger.txt datei geöffnet wurde




und hier die smitfraud.fix rapport file:
SmitFraudFix v2.65

Scan done at 12:52:21,76, 01.07.2006
Run from D:\Dokumente und Einstellungen\Sascha\Desktop\spy falcon wech bekomm\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}"="alongshore"

[HKEY_CLASSES_ROOT\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}\InProcServer32]
@="C:\WINDOWS\system32\yhbdupd.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}\InProcServer32]
@="C:\WINDOWS\system32\yhbdupd.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{5aaf6542-f4ba-4df4-873d-4902ecbe794c}"="antitragus"

[HKEY_CLASSES_ROOT\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\system32\asxbbx.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\system32\asxbbx.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\yhbdupd.dll -> Missing File

C:\WINDOWS\system32\asxbbx.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\1024\ Deleted
D:\DOKUME~1\Sascha\Desktop\SpywareQuake.com.lnk Deleted
D:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
D:\DOKUME~1\Sascha\FAVORI~1\Antivirus Test Online.url Deleted
D:\DOKUME~1\Sascha\STARTM~1\SpywareQuake.com 2.1.lnk Deleted
D:\DOKUME~1\Sascha\STARTM~1\PROGRA~1\SpywareQuake.com Deleted
C:\Programme\SpywareQuake.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Dieser Beitrag wurde am 01.07.2006 um 13:07 Uhr von Loredo editiert.
Seitenanfang Seitenende
01.07.2006, 13:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Avenger
poste das log , was nach neustart erscheint..denn es muesste erscheinen ;)

falls du es nicht findest, nehme ich an, du hast den avenger nicht korrekt angewendet...deshalb poste noch mal die 4 logs von datfindbat ...zur Ueberpruefung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2006, 13:44
Member

Beiträge: 18
#12 zum avenger kam immer eine fehlermeldung:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0

und nach dem neustart kam ein log aber das war leer, da stand nichts drin


hier die neuen datfind logs:

Verzeichnis von C:\WINDOWS\system32

01.07.2006 12:55 1.158 wpa.dbl
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
27.05.2006 15:38 52.900 perfc009.dat
27.05.2006 15:38 380.486 perfh009.dat
27.05.2006 15:38 391.330 perfh007.dat
27.05.2006 15:38 63.778 perfc007.dat
27.05.2006 15:38 897.778 PerfStringBackup.INI
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 285.488 WgaTray.exe
23.05.2006 17:25 402.736 WgaLogon.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
14.03.2006 20:20 236.760 FNTCACHE.DAT
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 66.560 mtxclu.dll
03.02.2006 14:33 28.672 f3PSSavr.scr



Verzeichnis von D:\DOKUME~1\Sascha\LOKALE~1\Temp

01.07.2006 13:25 16.384 ~DFCBC4.tmp
01.07.2006 12:55 16.384 ~DFEE5E.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 90.130.731.008 Bytes frei


Verzeichnis von C:\WINDOWS

01.07.2006 12:54 0 0.log
01.07.2006 12:54 2.048 bootstat.dat
01.07.2006 12:53 1.234.968 WindowsUpdate.log
01.07.2006 12:53 250.282 ntbtlog.txt
01.07.2006 12:53 1.012 WINCMD.INI
01.07.2006 12:52 192.458 setupact.log
01.07.2006 12:50 32.632 SchedLgU.Txt
01.07.2006 12:33 2.306 gthdkbtr.txt
01.07.2006 00:12 69 NeroDigital.ini
30.06.2006 17:51 54.156 QTFont.qfn
26.06.2006 19:27 1.409 QTFont.for
26.06.2006 15:00 71.003 wmsetup.log
24.06.2006 19:27 50 wiaservc.log
24.06.2006 19:27 216 wiadebug.log
23.06.2006 21:24 645.074 setupapi.log
21.06.2006 16:11 56.657 iis6.log
21.06.2006 16:11 1.374 imsins.log
21.06.2006 16:11 141.243 tsoc.log
21.06.2006 16:11 128.382 comsetup.log
21.06.2006 16:11 19.695 ocmsn.log
21.06.2006 16:11 76.094 ntdtcsetup.log
21.06.2006 16:11 11.651 KB911280.log
21.06.2006 16:11 175.065 ocgen.log
21.06.2006 16:11 17.866 msgsocm.log
21.06.2006 16:11 351.640 FaxSetup.log
21.06.2006 16:11 22.049 updspapi.log
18.06.2006 23:10 227 system.ini
18.06.2006 23:10 751 win.ini
18.06.2006 11:08 3.642 spupdsvc.log
18.06.2006 10:48 1.374 imsins.BAK
18.06.2006 10:48 17.608 KB917734.log
18.06.2006 10:48 15.845 KB918439.log
18.06.2006 10:48 15.926 KB917344.log
18.06.2006 10:48 14.884 KB917953.log
18.06.2006 10:48 29.797 KB916281.log
18.06.2006 10:47 12.907 KB914389.log
14.06.2006 15:31 243 IE4 Error Log.txt
08.06.2006 23:54 13.747 WgaNotify.log
28.05.2006 14:37 12.621 WGA.log
20.05.2006 15:52 12.458 KB900485.log
20.05.2006 15:52 14.495 KB913580.log
20.05.2006 15:50 211 uno.ini
22.04.2006 03:34 16.918 KB908531.log
22.04.2006 03:34 15.785 KB911562.log
22.04.2006 03:33 25.102 KB912812.log
22.04.2006 03:33 25.449 KB911565.log
22.04.2006 03:33 12.386 KB911567.log
02.03.2006 21:20 49.212 DirectX.log
15.02.2006 10:46 11.162 KB911927.log
15.02.2006 10:46 12.245 KB911564.log
15.02.2006 10:45 10.239 KB901190.log
15.02.2006 10:45 7.144 KB913446.log


Verzeichnis von C:\

01.07.2006 13:40 0 systemtemp.txt
01.07.2006 13:38 101.620 system32.txt
01.07.2006 13:38 937 sys.txt
01.07.2006 13:38 937 system.txt
01.07.2006 12:54 1.073.270.784 hiberfil.sys
01.07.2006 12:54 1.609.801.728 pagefile.sys
01.07.2006 12:53 2.323 rapport.txt
01.07.2006 12:35 13.036 avenger.txt
01.07.2006 12:31 0 backup.reg
01.07.2006 12:29 126.976 zip.exe
01.07.2006 12:29 2.306 qhhjnpdh.txt
01.07.2006 12:20 1.931 VundoFix.txt
01.07.2006 12:10 77.824 VundoFix.exe
18.06.2006 23:10 293 BOOT.INI
28.05.2006 15:06 3.758 smitfiles.txt
23.01.2006 15:36 429 datFind.bat
09.01.2006 22:34 3.148 TDSLCheck.txt
08.01.2006 18:50 155 TO_InstallLog.txt
Seitenanfang Seitenende
01.07.2006, 13:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 1.
loesche:

C:\zip.exe

---------------------------------
2.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2006, 14:45
Member

Beiträge: 18
#14 erstmal danke das du mir so toll hilfst

-datei ist gelöscht
-wo finde ich denn den scanreport? auf der seite wo das ergebnis steht kann ich nciht alles lesen weil der rechte teil quasi abgeschnitten ist und ich die seite nicht mximieren kann
Seitenanfang Seitenende
01.07.2006, 18:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 dann klicke auf Auswahl-Quelltext anzeigen (rechtklick mit der rechten maustaste auf die seite vom Panda)
und kopiere den scanreport ab.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: