PokerSpam und maximale Iexplore.exe Auslastung :(

#0
06.06.2006, 19:44
...neu hier

Beiträge: 8
#1 Hallo zusammen,
ich bin total verzweifelt und hoffe ihr könnt mir bei meinem Problem helfen ;-)

Es sind gleich mehrerer,

zum einen hängt sich bestimmt 2-3 mal pro Tag meine iexplore.exe auf, d.h. der Pc reagiert gar nicht mehr, der Task lässt sich zusätzlich auch nich beenden, woran kann das liegen?

Mein zweites Problem ist, das sich ständig Werbungen öffnen, komischerweise immer "poker" werbungen, außerdem werde ich jedes mal auf die seite www.carribeangold.com weitergeleitet wenn ich bei google.de irgendein wort eingebe da im zusammenhang mit poker steht.

Könnt ihr mir weiter helfen und evtl weitere Fehler in meiner Hijack.doc History finden?

Für hilfe wäre ich sehr dankbar

Gruss rosner007

Logfile of HijackThis v1.99.1
Scan saved at 19:40:00, on 06.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Jannik\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1238A82F-60E6-8460-1EDE-AD49626CC343} - (no file)
O2 - BHO: (no name) - {12631B3B-E943-7C56-8696-BF3EFDC9386C} - (no file)
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: (no name) - {270CA462-2BAB-B4EC-BEC3-49A6F5768F90} - C:\WINDOWS\System32\mwadalqq.dll
O2 - BHO: (no name) - {29B2391E-18AC-B708-A076-98EC0CCC1E60} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8FC20884-3359-40F7-CEBD-18581E1FA438} - (no file)
O2 - BHO: (no name) - {A1F48DEF-5ADB-F476-D7CC-734C0E7F75AF} - (no file)
O2 - BHO: (no name) - {D67AB906-A8E9-933F-393E-E83E689F0487} - (no file)
O2 - BHO: (no name) - {E676637D-2D6D-22C4-7F70-D2053AEFD071} - (no file)
O2 - BHO: (no name) - {F6A86992-A7A3-69A2-BE55-16A6AB78D4A1} - C:\DOKUME~1\Jannik\ANWEND~1\GLUESE~1\bait sign.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - c:\programme\steganos internet anonym 2006\sia2006iep.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Baseobjacegreat] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Poll extra base obj\surfcast.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [program meet] C:\DOKUME~1\Jannik\ANWEND~1\PLATFO~1\PileDoesLocks.exe
O4 - HKCU\..\Run: [SIA2006] "C:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.xs4all.nl/~kuhljf/nl.exe
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


P.S. ich glaube da sind ne menge sachen drinnen die nicht in Ordnung scheinen, weiß aber nicht wie ich sie beheben kann,
Vielen Dank schonmal im vorraus!!!
Seitenanfang Seitenende
07.06.2006, 13:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 rosner007

0.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt

O2 - BHO: (no name) - {1238A82F-60E6-8460-1EDE-AD49626CC343} - (no file)
O2 - BHO: (no name) - {12631B3B-E943-7C56-8696-BF3EFDC9386C} - (no file)
O2 - BHO: (no name) - {270CA462-2BAB-B4EC-BEC3-49A6F5768F90} - C:\WINDOWS\System32\mwadalqq.dll
O2 - BHO: (no name) - {29B2391E-18AC-B708-A076-98EC0CCC1E60} - (no file)
O2 - BHO: (no name) - {8FC20884-3359-40F7-CEBD-18581E1FA438} - (no file)
O2 - BHO: (no name) - {A1F48DEF-5ADB-F476-D7CC-734C0E7F75AF} - (no file)
O2 - BHO: (no name) - {D67AB906-A8E9-933F-393E-E83E689F0487} - (no file)
O2 - BHO: (no name) - {E676637D-2D6D-22C4-7F70-D2053AEFD071} - (no file)
O2 - BHO: (no name) - {F6A86992-A7A3-69A2-BE55-16A6AB78D4A1} - C:\DOKUME~1\Jannik\ANWEND~1\GLUESE~1\bait sign.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Baseobjacegreat] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Poll extra base obj\surfcast.exe
O4 - HKCU\..\Run: [program meet] C:\DOKUME~1\Jannik\ANWEND~1\PLATFO~1\PileDoesLocks.exe
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.xs4all.nl/~kuhljf/nl.exe
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
pc neustarten

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

5.
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 17:24
...neu hier

Themenstarter

Beiträge: 8
#3 Hoffe ich habe alles richtig gemacht :-)
Scan durchgeführt ( auch wenn er mir sagte ich habe nur ne trial version, bei der full version kann man die erst löschen? schien trotzdem gelöscht.!)


(3. Datfind.bat)

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\WINDOWS\system32

02.06.2006 16:11 237.552 FNTCACHE.DAT
17.05.2006 06:17 7.006 jupdate-1.5.0_06-b05.log
16.05.2006 15:17 3.613 jupdate-1.5.0_03-b07.log
13.05.2006 12:53 2.206 wpa.dbl
04.05.2006 06:26 5.818.784 MRT.exe
29.03.2006 15:25 376.016 perfh009.dat
29.03.2006 15:25 386.338 perfh007.dat
29.03.2006 15:25 51.814 perfc009.dat
29.03.2006 15:25 62.578 perfc007.dat
29.03.2006 15:25 886.928 PerfStringBackup.INI
22.03.2006 17:46 2.702.336 MSHTML.DLL
22.03.2006 03:29 612.352 xpsp2res.dll
21.03.2006 15:36 1.339.392 SHDOCVW.DLL
17.03.2006 07:03 8.392.192 shell32.dll
17.03.2006 02:49 25.600 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
07.03.2006 13:19 147.456 msdart.dll
07.03.2006 13:19 401.408 SQLSRV32.dll
07.03.2006 13:19 221.184 ODBC32.dll
07.03.2006 13:19 28.672 DBnmpntw.dll
07.03.2006 13:19 73.728 DBnetlib.dll
07.03.2006 13:19 24.576 odbcbcp.dll
07.03.2006 13:19 139.264 msorcl32.dll
03.03.2006 15:46 498.176 MSTIME.DLL
03.03.2006 15:46 462.848 URLMON.DLL
01.03.2006 21:44 368.640 msdtcprx.dll
01.03.2006 21:44 974.336 msdtctm.dll
01.03.2006 21:44 64.512 mtxclu.dll
01.03.2006 21:44 83.456 mtxoci.dll
01.03.2006 21:44 11.776 xolehlp.dll
01.03.2006 21:44 150.528 msdtcuiu.dll


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\DOKUME~1\Jannik\LOKALE~1\Temp

07.06.2006 12:37 1.454 jusched.log
05.06.2006 14:53 717 control.xml
05.06.2006 09:54 939 jupdate1.5.0.xml
03.06.2006 23:13 198 1F1205F7.TMP
07.05.2006 19:12 32.855 ICQRT.dll


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\WINDOWS

07.06.2006 17:13 0 0.log
07.06.2006 17:13 5.476 setupapi.log
07.06.2006 17:13 1.498.315 WindowsUpdate.log
07.06.2006 17:12 2.048 bootstat.dat
07.06.2006 17:12 32.390 SchedLgU.Txt
05.06.2006 15:26 116 NeroDigital.ini
05.06.2006 14:53 1.221 wmsetup.log
02.06.2006 14:56 50 wiaservc.log
02.06.2006 14:56 216 wiadebug.log
01.06.2006 11:48 6.790 mozver.dat
29.05.2006 06:20 66.704 MEMORY.DMP
28.05.2006 17:19 32 go
13.05.2006 18:01 121.149 ntdtcsetup.log
13.05.2006 18:01 92.207 iis6.log
13.05.2006 18:01 230.824 tsoc.log
13.05.2006 18:01 13.726 KB913580.log
13.05.2006 18:01 20.688 ocmsn.log
13.05.2006 18:01 28.572 msgsocm.log
13.05.2006 18:01 591.027 FaxSetup.log
13.05.2006 18:00 20.423 updspapi.log
26.04.2006 10:16 4.181 spupdsvc.log
26.04.2006 09:59 1.374 imsins.BAK
26.04.2006 09:59 19.720 KB908531.log
26.04.2006 09:59 7.393 KB912812-IE6SP1-20060322.182418.log
26.04.2006 09:58 25.315 MDAC28-KB911562-x86-DEU.log
26.04.2006 09:57 6.126 KB911567-OE6SP1-20060316.165634.log
26.04.2006 09:57 18.002 KB911565.log
22.03.2006 15:56 5.333 KB914798.log



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\DOKUME~1\Jannik\LOKALE~1\Temp

07.06.2006 12:37 1.454 jusched.log
05.06.2006 14:53 717 control.xml
05.06.2006 09:54 939 jupdate1.5.0.xml
03.06.2006 23:13 198 1F1205F7.TMP
07.05.2006 19:12 32.855 ICQRT.dll


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\

07.06.2006 17:20 0 sys.txt
07.06.2006 17:20 15.854 system.txt
07.06.2006 17:19 584 systemtemp.txt
07.06.2006 17:19 97.319 system32.txt
07.06.2006 17:12 536.399.872 hiberfil.sys
07.06.2006 17:12 805.306.368 pagefile.sys




(4. echobat)

10)DPF????
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2005 13:10 26.764 CnsMinIdn.cab
29.10.2004 18:54 65.536 CnsMinIdn.dll
27.03.2005 13:10 21 CnsUp.ini
27.03.2005 10:38 <DIR> CONFLICT.1
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
24.01.2005 11:38 1.249 erma.inf
26.07.2005 14:21 128.000 FlashNet.dll
27.03.2005 13:10 57.828 idnlite.cab
25.12.2003 11:45 184.320 idnlite.dll
06.08.2005 12:30 45.056 int_ver30.ocx
25.08.2003 18:12 1.096 iuctl.inf
29.03.2005 11:53 3.214 jword.ico
29.03.2005 11:53 3.214 jwordhot.ico
26.08.2005 16:57 495 LegitCheckControl.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
08.10.2004 16:01 372.736 MsnPUpld.dll
08.10.2004 16:13 587 MSNPupld.inf
08.09.2003 14:38 674 msSecAdv.inf
22.08.2003 21:10 226 opuc.inf
31.05.2002 09:19 117.328 PURde-de.dll
19.06.2002 14:11 117.088 PURen-us.dll
20 Datei(en) 1.127.291 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1

27.03.2005 10:38 <DIR> .
27.03.2005 10:38 <DIR> ..
08.11.2004 10:53 224 setup.inf
1 Datei(en) 224 Bytes

Anzahl der angezeigten Dateien:
21 Datei(en) 1.127.515 Bytes
3 Verzeichnis(se), 29.592.256.512 Bytes frei


(5. lookzip)

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten

26.12.2005 00:17 <DIR> Adobe
18.08.2004 17:03 <DIR> AdobeUM
24.02.2006 15:23 <DIR> Ahead
24.09.2005 17:22 <DIR> AOL
25.12.2004 19:02 <DIR> APPLEC~1 Apple Computer
07.11.2004 01:29 <DIR> Atari
15.05.2006 20:10 <DIR> Azureus
28.05.2004 22:18 <DIR> CYBERL~1 CyberLink
17.03.2005 18:32 <DIR> eutp
30.05.2006 12:48 <DIR> GLUESE~1 glue seek dumb
17.05.2006 06:18 <DIR> Google
31.07.2004 18:56 <DIR> Help
01.06.2006 07:13 <DIR> ICQLite
26.05.2004 17:01 <DIR> IDENTI~1 Identities
31.07.2004 19:46 <DIR> KAZAAL~1 Kazaa Lite
24.09.2005 17:20 <DIR> Lavasoft
14.05.2006 15:02 <DIR> LEADER~1 Leadertech
14.09.2004 14:45 <DIR> LockTime
26.05.2004 19:27 <DIR> MACROM~1 Macromedia
31.07.2004 22:35 <DIR> Mozilla
07.05.2005 11:52 <DIR> NETPUM~1 NetPumper
30.05.2006 12:48 <DIR> PLATFO~1 Platform Option
26.05.2004 19:22 <DIR> Real
18.01.2005 22:15 <DIR> SMMesser
25.12.2005 23:03 <DIR> SONYER~1 Sony Ericsson
18.01.2005 19:41 169 Sskdmns.dll
07.11.2004 12:35 <DIR> Sun
31.07.2004 22:35 <DIR> Talkback
25.12.2005 19:39 <DIR> Teleca
23.11.2005 16:32 <DIR> TUNEUP~1 TuneUp Software
03.05.2006 14:17 <DIR> vlc
15.01.2006 14:35 4.864 wklnhst.dat
26.11.2005 21:58 <DIR> XnView
26.05.2004 19:02 <DIR> YOU'VE~1 You've Got Pictures Screensaver
2 Datei(en) 5.033 Bytes
32 Verzeichnis(se), 29.592.248.320 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

26.12.2005 00:16 <DIR> Adobe
28.05.2004 21:48 <DIR> Ahead
24.09.2005 17:23 <DIR> AOL
25.12.2004 19:02 <DIR> APPLEC~1 Apple Computer
28.05.2004 21:53 <DIR> CYBERL~1 CyberLink
30.05.2006 12:48 <DIR> POLLEX~1 Poll extra base obj
31.05.2006 21:39 <DIR> QUICKT~1 QuickTime
26.05.2004 17:09 <DIR> SBSI
18.01.2006 13:38 <DIR> SONYER~1 Sony Ericsson
07.05.2006 17:42 <DIR> SPYBOT~1 Spybot - Search & Destroy
23.11.2005 16:31 <DIR> TUNEUP~1 TuneUp Software
26.05.2004 19:02 <DIR> VIEWPO~1 Viewpoint
09.11.2005 22:12 <DIR> WINDOW~1 Windows Genuine Advantage
0 Datei(en) 0 Bytes
13 Verzeichnis(se), 29.592.248.320 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von C:\WINDOWS\tasks

07.06.2006 17:00 276 AF8B6A0E918D1B7E.job
29.08.2002 14:00 65 desktop.ini
07.06.2006 17:12 6 SA.DAT
3 Datei(en) 347 Bytes
0 Verzeichnis(se), 29.592.248.320 Bytes frei
Seitenanfang Seitenende
07.06.2006, 17:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 rosner007

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

Zitat

C:\WINDOWS\System32\mwadalqq.dll
C:\WINDOWS\Downloaded Program Files\int_ver30.ocx
3.
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt

4.
loeschen:

Zitat

C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\glue seek dumb
C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Platform Option
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Poll extra base obj
5.
boote wieder in den normalmodus

6.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

------------------------------------------------------------------
7.
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu

8.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

9..
dann mache noch einen Onlinescan mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

---------------------------------------------------------------------------

Information :
http://virus-protect.org/artikel/spyware/lop1.html


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 19:19
...neu hier

Themenstarter

Beiträge: 8
#5 Habe jetzt alles so gemacht wie du gesagt hast, soweit ich alles verstanden habe ;-)

Hier nun der Scanreport:



Incident Status Location

Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Poll extra base obj\surfcast.exe
Adware:Adware/CWS.Searchmeup Not disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bdf1f78-6160c1c2.zip[GetAccess.class]
Adware:Adware/CWS.Searchmeup Not disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bdf1f78-6160c1c2.zip[Installer.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bdf1f78-6160c1c2.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bdf1f78-6160c1c2.zip[NewURLClassLoader.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv698.jar-e49f9eb-5a8945ce.zip[Matrix.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv698.jar-e49f9eb-5a8945ce.zip[Counter.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv698.jar-e49f9eb-5a8945ce.zip[Dummy.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv698.jar-e49f9eb-5a8945ce.zip[Parser.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv768.jar-65fa0fd-558e3aa1.zip[Matrix.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv768.jar-65fa0fd-558e3aa1.zip[Counter.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv768.jar-65fa0fd-558e3aa1.zip[Dummy.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv768.jar-65fa0fd-558e3aa1.zip[Parser.class]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@2o7[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@as-eu.falkag[1].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@atwola[1].txt
Spyware:Cookie/OfferOptimizer Not disinfected C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@offeroptimizer[1].txt
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Jannik\Desktop\backups\backup-20060607-171127-296.dll
Dialer;)ialer.BKJ Not disinfected C:\Dokumente und Einstellungen\Jannik\Desktop\backups\backup-20060607-171128-896.inf
Adware:Adware/WinAD Not disinfected C:\Program Files\Windows ServeAd\WinAtServ.dll
Adware:Adware/QuickSearch Not disinfected C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe
Virus:Trj/Downloader.DOZ Disinfected C:\WINDOWS\CP14.exe
Adware:adware/gator Not disinfected C:\WINDOWS\GatorHDPlugin.log-old.log
Adware:Adware/CWS.Searchmeup Not disinfected C:\WINDOWS\hosts
Adware:Adware/Abox Not disinfected C:\WINDOWS\logon.exe
Virus:Trj/Delf.YU Disinfected C:\WINDOWS\system32\ams491.dat
Adware:Adware/PurityScan Not disinfected C:\WINDOWS\system32\j?vaw.exe
Potentially unwanted tool:Application/Ardamax
Seitenanfang Seitenende
07.06.2006, 19:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
im abgesicherten Modus loeschen:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Poll extra base obj\
C:\Program Files\Windows ServeAd

deinstalliere auch gleich noch:
C:\Programme\themexp\

-------------------

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\CP14.exe
C:\WINDOWS\GatorHDPlugin.log-old.log
C:\WINDOWS\hosts
C:\WINDOWS\logon.exe
C:\WINDOWS\system32\ams491.dat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\j?vaw*.*" > c:\find.txt & start notepad c:\find.txt
------------------------------------------------------------------
4.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AF8B6A0E918D1B7E.job
del AF8B6A0E918D1B7E.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 21:05
...neu hier

Themenstarter

Beiträge: 8
#7 Hey,
erstmal vielen Dank für deine schnelle Antwort!

Es gibt aber ein Problem bei diesem Avenger Script
Nach dem Reboot öffnet sich folgendes Textdokument:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hdixbcnu

*******************

Script file located at: \??\C:\^bnvupsv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\CP14.exe not found!
Deletion of file C:\WINDOWS\CP14.exe failed!

Could not process line:
C:\WINDOWS\CP14.exe
Status: 0xc0000034



File C:\WINDOWS\GatorHDPlugin.log-old.log not found!
Deletion of file C:\WINDOWS\GatorHDPlugin.log-old.log failed!

Could not process line:
C:\WINDOWS\GatorHDPlugin.log-old.log
Status: 0xc0000034



File C:\WINDOWS\hosts not found!
Deletion of file C:\WINDOWS\hosts failed!

Could not process line:
C:\WINDOWS\hosts
Status: 0xc0000034



File C:\WINDOWS\logon.exe not found!
Deletion of file C:\WINDOWS\logon.exe failed!

Could not process line:
C:\WINDOWS\logon.exe
Status: 0xc0000034



File C:\WINDOWS\system32\ams491.dat not found!
Deletion of file C:\WINDOWS\system32\ams491.dat failed!

Could not process line:
C:\WINDOWS\system32\ams491.dat
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
07.06.2006, 21:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint


Zitat

dir /s /a "c:\j?vaw*.*" > c:\find.txt & start notepad c:\find.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 21:58
...neu hier

Themenstarter

Beiträge: 8
#9 Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B

Verzeichnis von c:\Dokumente und Einstellungen\Jannik\Anwendungsdaten\Sun\Java\Deployment

07.11.2004 12:35 <DIR> javaws
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\Azureus

23.09.2005 18:50 545 javaw.exe.manifest
1 Datei(en) 545 Bytes

Verzeichnis von c:\Programme\Java\j2re1.4.2_05

07.11.2004 12:35 <DIR> javaws
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\Java\j2re1.4.2_05\bin

03.06.2004 22:09 45.163 javaw.exe
1 Datei(en) 45.163 Bytes

Verzeichnis von c:\Programme\Java\j2re1.4.2_05\javaws

03.06.2004 22:56 139.264 JavaWebStart.dll
03.06.2004 22:56 98.420 javaws-l10n.jar
03.06.2004 22:56 135.168 javaws.exe
03.06.2004 23:08 1.076.415 javaws.jar
07.11.2004 12:35 132 javaws.policy
03.06.2004 22:56 36.864 javawspl.dll
6 Datei(en) 1.486.263 Bytes

Verzeichnis von c:\Programme\Java\jre1.5.0_03\bin

13.04.2005 02:20 49.250 javaw.exe
13.04.2005 04:06 147.456 JavaWebStart.dll
13.04.2005 03:48 127.078 javaws.exe
3 Datei(en) 323.784 Bytes

Verzeichnis von c:\Programme\Java\jre1.5.0_03\lib

16.05.2006 15:17 <DIR> javaws
13.04.2005 03:57 757.469 javaws.jar
1 Datei(en) 757.469 Bytes

Verzeichnis von c:\Programme\Java\jre1.5.0_03\lib\security

16.05.2006 15:16 132 javaws.policy
1 Datei(en) 132 Bytes

Verzeichnis von c:\Programme\Java\jre1.5.0_06\bin

10.11.2005 11:27 49.250 javaw.exe
10.11.2005 13:22 147.456 JavaWebStart.dll
10.11.2005 13:03 127.078 javaws.exe
3 Datei(en) 323.784 Bytes

Verzeichnis von c:\Programme\Java\jre1.5.0_06\lib

17.05.2006 06:17 <DIR> javaws
02.03.2006 16:51 765.482 javaws.jar
1 Datei(en) 765.482 Bytes

Verzeichnis von c:\Programme\Java\jre1.5.0_06\lib\security

17.05.2006 06:16 132 javaws.policy
1 Datei(en) 132 Bytes

Verzeichnis von c:\WINDOWS\system32

10.11.2005 11:27 49.250 javaw.exe
10.11.2005 13:03 127.078 javaws.exe
2 Datei(en) 176.328 Bytes

Anzahl der angezeigten Dateien:
20 Datei(en) 3.879.082 Bytes
4 Verzeichnis(se), 30.691.078.144 Bytes frei





den letzten Punkt 4 deiner Liste habe ich auch ausgeführt...!
Seitenanfang Seitenende
07.06.2006, 23:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ich finde den Purityscan nicht mehr...
Adware:Adware/PurityScan Not disinfected C:\WINDOWS\system32\j?vaw.exe
obwohl laut Panda nicht desinfiziert wurde.....

**
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 23:14
...neu hier

Themenstarter

Beiträge: 8
#11 Lass grade den Scan durchlaufen, poste gleich den Report!!
Ich wollte mich wirklich mal über deine Hilfe äußern, das ist echt Wahnsinn wie du einem hilfst!
Freue mich wirklich sehr wenn ich deine Beiträge lese und dann versuche das Problem zu lösen, ich denke ich spreche hier im namen vieler user, denen du bestimmt schon öfter aus der Patsche geholfen hast!

BTW,
kannst du mir ein paar Programme empfehlen die ich auf meinem pc grundsätzlich haben sollte? Norton? Spybot? TuneUp? Einen bestimmten Virescanner?
Damit mein Pc einigermaßen geschützt ist..!!Danke schonmal!!




---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:35:03, 07.06.2006
+ Report-Checksumme: D892D1A

+ Scanergebnis:

C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@atdmt[1].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jannik\Cookies\jannik@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jannik\Desktop\backups\backup-20060607-171127-528.dll -> Trojan.Golid.g : Gesäubert mit Backup
C:\WINDOWS\system32\ktsbdqik.exe -> Proxy.Agent.l : Gesäubert mit Backup
D:\2.6.06\- Chip -\YetiSportsAIO.exe -> Not-A-Virus.Monitor.Win32.Ardamax.k : Gesäubert mit Backup


::Report Ende




P.S
Der Scan scheint unvollständig oder täusche ich mich ?!
Dieser Beitrag wurde am 07.06.2006 um 23:35 Uhr von rosner007 editiert.
Seitenanfang Seitenende
08.06.2006, 13:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 rosner007

da war noch ein Proxy-Agent drauf.....
nun muesste jedoch wieder alles o.k. sein.
der ewido ist nur 14 Tage free.

Kostenloser Guard:Windows Defender
http://virus-protect.org/ms.html

anstelle des IE surfe nur mit dem Firefox ;)
http://virus-protect.org/firefox.html
+
keine suspekten Proggies laden, denn in diesem Fall nuetzt der beste Antivirenschutz nichts.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2006, 14:03
...neu hier

Themenstarter

Beiträge: 8
#13 Ok,
ist der Pc denn jetzt wieder einigermaßen in Ordnung wenn ich die Sachen so durchgeführt habe? ;)

Die Proggis habe ich mir geladen, Vielen Dank!!

mfg
Seitenanfang Seitenende
08.06.2006, 14:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 du kannst dich noch durch die verschiedenen Onlinescans hangeln (mit dem IE, mit Firefox gehen sie nicht), die du auf meiner Seite findest.
Oftmals findet jeder scanner was neues und einer nie alles ;)
http://virus-protect.org/onlinescan.html

(hast du mit Hijackthis alles gefixt, was ich oben geschrieben hatte? )

Dein Grundproblem war der IE und aktivierte ActiveX............wenn du in Zukunft mit dem Firefox surfst, ist es sicherer)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2006, 14:14
...neu hier

Themenstarter

Beiträge: 8
#15 Ja aus dem Hijackthis hab ich alles gefixt,
ok dann lass ich nochmal diveres Scanner drüber laufen :-)
Dank dir!
Seitenanfang Seitenende