Spyware eingefangen die ich nicht loswerde

#0
15.06.2006, 14:06
...neu hier

Beiträge: 10
#1 Hallo,

ich habe mir Spyware eingefangen und werde sie nicht mehr los!
Beim surfen werde ich auf andere Seiten umgelenkt. Das heißt ich drücke auf einen Link über den ich auf Seite A landen soll und lande aber auf einer völlig anderen Seite B.
Kann mir bitte jemand helfen? Ich habe schon mehrmals mit Ad-Aware, Spybot - Search & Destroy, cwshredder und AntiVir gescannt und die dann gefundenen Viren und Spy`s entfernt aber beim nächsten surfen (mit IE oder Firefox) habe ich wieder die gleichen Probleme!

Hier mein aktueller logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:37:24, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Steganos 3\Steganos3.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\spider.exe
D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search123.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search123.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dmkhf.exe] C:\WINDOWS\system32\dmkhf.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/289c673fc4f72849bd15/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123669131841
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123669104051
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/2363/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43026E49-D79B-40C6-AA52-1735B0D721BF}: NameServer = 85.255.116.62,85.255.112.233
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8BE8DEF-6FF2-4F69-9F49-BCAD558DEF50}: NameServer = 85.255.116.62,85.255.112.233
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
15.06.2006, 15:04
Moderator

Beiträge: 7805
#2 Mache bitte folgendes. Fixe als erstes folgende Eintraege:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search123.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search123.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [dmkhf.exe] C:\WINDOWS\system32\dmkhf.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/289c673fc4f72849bd15/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123669131841
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123669104051
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/2363/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43026E49-D79B-40C6-AA52-1735B0D721BF}: NameServer = 85.255.116.62,85.255.112.233
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8BE8DEF-6FF2-4F69-9F49-BCAD558DEF50}: NameServer = 85.255.116.62,85.255.112.233

Mache das bitte im abgesicherten Modus, nicht das uns der Teatimer dazwischen funkt.

Danach arbeite bitte noch das aus diesem Thread ab: http://board.protecus.de/t23187.htm und poste die entsprechenden Reports/Logs.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2006, 16:50
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo Ralf,

danke für Deine Antwort aber da ich leider ein Computer Anfänger bin und schon bei kleineren Problemen recht schnell verzweifel weiß ich nicht wirklich was ich jetzt machen soll.

Was bedeutet: Einträge fixen? Was muß ich da tun? Und was danach?

Gruß Oliver
Seitenanfang Seitenende
15.06.2006, 17:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Alexi

der Rechner ist boese verseucht, zum Teil auch, weil du den Netpumper u.a. geladen hast.
du musst folgendes ausfuehren und die logs posten:

0.
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

4.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
-> hier reinkopieren

-------------------------------------------------

dann erklaere ich dir auch, wie man mit HijackThis fixt, da aber deine Internetverbindung korumpiert ist, will ich erst mal sehen, dass die Viren runterkommen, ehe du fixt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 17:02
Moderator

Beiträge: 7805
#5 Genau, das was Sabina angegeben hat und im abgesicherten Modus= http://www.bsi.bund.de/av/texte/wiederher.htm Hijackthis starten, alle Eintraege, die ich oben angegeben haben anhaken und "fix checked" druecken.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2006, 17:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 den 017 soll man erst fixen, wenn die viren runter sind ??? Sonst bleibt der Eintrag erhalten....... ??
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 17:34
Moderator

Beiträge: 7805
#7 Ist im Grunde egal, hat aber den grossen Vorteil, das man gleich Rueckmeldung bekommt, ob man den DNS Changer Trojaner erledigt hat oder nicht. Davon ausgehend, das das dieser Trojaner ist: dmkhf.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2006, 17:49
...neu hier

Themenstarter

Beiträge: 10
#8 So hier alle meine Ergebnisse:

Hatte leider Teile schon gefixt. Sorry!


Ergebnis von dat find:

1. Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1564-190C

Verzeichnis von C:\WINDOWS\system32

15.06.2006 17:06 41.216 vsconfig.xml
14.06.2006 12:13 57.384 avsda.dll
14.06.2006 11:15 2.206 wpa.dbl
05.06.2006 10:19 425.020 kilacln.exe
05.06.2006 10:18 51.284 csxgu.exe
29.03.2006 05:45 4.212 zllictbl.dat
26.03.2006 17:33 242.328 FNTCACHE.DAT
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll


2. Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1564-190C

Verzeichnis von C:\DOKUME~1\Oliver\LOKALE~1\Temp

15.06.2006 17:03 16.384 ~DF9B03.tmp
15.06.2006 16:56 917.504 MFPL7014.DLL
14.06.2006 12:16 0 18u2B.tmp
12.06.2006 17:41 0 84n5.tmp
09.06.2006 19:52 122 8A56EAB7.TMP
08.06.2006 09:07 2.036 IMT18.xml
08.06.2006 09:07 798.234 IMT1A.xml
08.06.2006 09:07 426 IMT19.xml
08.06.2006 09:07 798.234 IMT17.xml
08.06.2006 09:07 2.036 IMT15.xml
08.06.2006 09:07 426 IMT16.xml
08.06.2006 09:00 426 IMT12.xml
08.06.2006 09:00 798.234 IMT13.xml
08.06.2006 09:00 2.036 IMT11.xml
08.06.2006 08:59 426 IMTF.xml
08.06.2006 08:59 798.234 IMT10.xml
08.06.2006 08:59 2.036 IMTE.xml
08.06.2006 08:59 426 IMTC.xml
08.06.2006 08:59 798.234 IMTD.xml
08.06.2006 08:59 2.036 IMTB.xml
05.06.2006 10:48 798.234 IMT40.xml
05.06.2006 10:48 2.036 IMT3E.xml
05.06.2006 10:48 426 IMT3F.xml
05.06.2006 10:47 2.036 IMT3B.xml
05.06.2006 10:47 798.234 IMT3D.xml
05.06.2006 10:47 426 IMT3C.xml
26 Datei(en) 6.538.882 Bytes
0 Verzeichnis(se), 13.912.309.760 Bytes frei


3. Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1564-190C

Verzeichnis von C:\WINDOWS

15.06.2006 17:05 0 0.log
15.06.2006 17:05 3.120 MF_C425.lfa
15.06.2006 17:05 3.120 MF_C420.lfa
15.06.2006 17:05 3.120 MF_C421.lfa
15.06.2006 17:05 159 wiadebug.log
15.06.2006 17:04 2.048 bootstat.dat
15.06.2006 17:04 32.554 SchedLgU.Txt
15.06.2006 17:04 50 wiaservc.log
15.06.2006 17:04 1.247.149 WindowsUpdate.log
13.06.2006 06:49 19.770 Run32A50.mch
13.06.2006 06:48 7.737.344 ww2000de.mdb
13.06.2006 06:47 48 wwver.txt
13.06.2006 06:47 35 A5W.INI
08.06.2006 08:08 62.543 wmsetup.log
31.05.2006 12:41 49 NeroDigital.ini
18.05.2006 16:58 3.203 tm.ini
18.05.2006 16:47 124 tdf.dii
15.05.2006 17:19 149.334 setupapi.log
15.05.2006 17:19 41 setupact.log
26.04.2006 17:50 0 OPPRIN~1.INI
05.04.2006 16:08 2.359.350 Astra GTC.bmp
05.04.2006 16:06 2.359.350 Sabine.bmp
05.04.2006 16:02 2.359.350 Babsi.bmp
27.03.2006 18:18 227 system.ini
27.03.2006 18:18 615 win.ini
25.02.2006 15:43 11.846 mozver.dat


4. Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1564-190C

Verzeichnis von C:\

15.06.2006 17:24 6.207 system.txt
15.06.2006 17:23 1.462 systemtemp.txt
15.06.2006 17:21 107.814 system32.txt
15.06.2006 17:20 0 sys.txt
15.06.2006 17:04 268.013.568 hiberfil.sys
15.06.2006 17:04 402.653.184 pagefile.sys
27.03.2006 18:18 211 boot.ini
17.01.2005 21:28 244 tracing.log


5. Ergebnis von look:

SICHERUNG
Volumeseriennummer: 0C39-0A00

Verzeichnis von D:\

20.10.2004 11:57 <DIR> EIGENE~1 Eigene Dateien
20.01.2001 03:12 <DIR> TREIBER Treiber
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 14.414.913.536 Bytes frei
Datentr„ger in Laufwerk D: ist SICHERUNG
Volumeseriennummer: 0C39-0A00

Verzeichnis von D:\

20.10.2004 11:57 <DIR> EIGENE~1 Eigene Dateien
20.01.2001 03:12 <DIR> TREIBER Treiber
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 14.414.913.536 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1564-190C

Verzeichnis von C:\WINDOWS\tasks

18.08.2001 14:00 65 desktop.ini
15.06.2006 17:04 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 13.911.539.712 Bytes frei


6. Ergebins von Echo:

10)DPF????
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1564-190C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

18.04.2004 18:17 <DIR> .
18.04.2004 18:17 <DIR> ..
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
03.06.2004 10:04 524.445 RdxIE.dll
08.12.2003 13:58 3.759 swflash.inf
25.07.2002 17:05 172.032 isusweb.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:13 24.576 dwusplay.dll
15.03.2002 15:18 348.160 kdu_v32r.dll
08.10.2002 13:36 253.952 ywcupl.dll
09.10.2003 10:32 144 QTPlugin.inf
9 Datei(en) 1.524.838 Bytes

Anzahl der angezeigten Dateien:
9 Datei(en) 1.524.838 Bytes
2 Verzeichnis(se), 13.911.490.560 Bytes frei



7. Ergebnis von Secure backlight:

06/15/06 17:35:18 [Info]: BlackLight Engine 1.0.37 initialized
06/15/06 17:35:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/15/06 17:35:18 [Note]: 7019 4
06/15/06 17:35:18 [Note]: 7005 0
06/15/06 17:35:41 [Note]: 7006 0
06/15/06 17:35:41 [Note]: 7011 1548
06/15/06 17:35:41 [Note]: 7026 0
06/15/06 17:35:41 [Note]: 7026 0
06/15/06 17:35:50 [Note]: FSRAW library version 1.7.1015



8. Ergebnis von Hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 17:41:33, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Steganos 3\Steganos3.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\SYSTEM32\notepad.exe
D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{68CC63F9-791A-4735-8363-588A4277CE8C}: NameServer = 85.255.116.62 85.255.112.233
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
15.06.2006, 18:04
Moderator

Beiträge: 7805
#9 Loesche bitte folgende Dateien, im abgesicherten Modus) aus c:\windows\system32:

05.06.2006 10:19 425.020 kilacln.exe
05.06.2006 10:18 51.284 csxgu.exe

dort bitte auch den "O17" Eintrag fixen, neu starten und ein neues Hijackthis log posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2006, 19:02
...neu hier

Themenstarter

Beiträge: 10
#10 Hallo Ralf,

habe alles gelöscht und hier ist der neue Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:53:54, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Steganos 3\Steganos3.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
15.06.2006, 19:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 1.
deinstalliere:
NetPumper

2.
Download FixWareout:
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt (Hier posten )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 20:01
...neu hier

Themenstarter

Beiträge: 10
#12 Hier der Report:

Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\gpumd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMUPG.EXE 44.049 2005-04-07


und noch einmal Hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 19:55:17, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Steganos 3\Steganos3.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{68CC63F9-791A-4735-8363-588A4277CE8C}: NameServer = 85.255.116.62 85.255.112.233
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
15.06.2006, 20:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Alexi

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper]
[-HKEY_CURRENT_USER\Software\NetPumper]
[-HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}]
[-HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}]
Die Datei "fixme.reg" auf dem Desktop doppelklicken + der Registry beifuegen

2.
scanne mit Counterspy
http://virus-protect.org/counterspy.html
und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 21:32
...neu hier

Themenstarter

Beiträge: 10
#14 Habe noch nichts weiter gemacht!
Habe nur den Scan laufen lassen und hier jetzt das für mich als Laien erschreckende Ergebnis von Counter Spy:

Spyware Scan Details
Start Date: 15.06.2006 20:56:27
End Date: 15.06.2006 21:22:17
Total Time: 25 mins 50 secs

Detected spyware

AntiLeech Plugin Adware (General) more information...
Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software.
Status: Ignored

Infected files detected
c:\programme\anti-leech\alie\alie.dll
c:\programme\anti-leech\alie\al2np.dll
c:\programme\anti-leech\alie\alhlp.exe
c:\programme\anti-leech\alie\alie.inf
c:\programme\anti-leech\alie\iesetup2.exe
c:\programme\anti-leech\alie_1.0.2.2\alie.dll
c:\programme\anti-leech\alie_1.0.2.2\al2np.dll
c:\programme\anti-leech\alie_1.0.2.2\alhlp.exe
c:\programme\anti-leech\alie_1.0.2.2\alie.inf
c:\programme\anti-leech\alie_1.0.2.2\iesetup2.exe

Infected registry entries detected
HKEY_CLASSES_ROOT\AntiLeech.ALIE.1
HKEY_CLASSES_ROOT\AntiLeech.ALIE.1\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_CLASSES_ROOT\AntiLeech.ALIE.1 Anti-Leech Plug-in
HKEY_CLASSES_ROOT\AntiLeech.ALIE
HKEY_CLASSES_ROOT\AntiLeech.ALIE\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_CLASSES_ROOT\AntiLeech.ALIE\CurVer AntiLeech.ALIE.1
HKEY_CLASSES_ROOT\AntiLeech.ALIE Anti-Leech Plug-in
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\InprocServer32 C:\PROGRA~1\ANTI-L~1\ALIE_1~1.2\alie.dll
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\ProgID AntiLeech.ALIE.1
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\TypeLib {056738E1-E15C-11D6-B876-0050BF5D85C7}
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\VersionIndependentProgID AntiLeech.ALIE
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7} Anti-Leech Plug-in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE DisplayName Anti-Leech Plugin for Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE UninstallString C:\Programme\Anti-Leech\ALIE_1.0.2.2\iesetup2.exe uninstall


NetPumper Adware Bundler more information...
Details: Bundles with a number of adware components.
Status: Ignored

Infected files detected
c:\dokumente und einstellungen\oliver\anwendungsdaten\netpumper\oliver.ini

Infected registry entries detected
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib {F7258F6E-9F60-49C0-8C82-F0A0993D68E0}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} INetscapeInterface
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\0\win32 C:\Programme\NetPumper\NetPumperNNProxy.dll
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\HELPDIR C:\Programme\NetPumper\
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0 NetPumperNNProxy Library


IESearchToolbar Toolbar more information...
Details: IESearchToolbar is an Internet Explorer toolbar that hijacks the web browser search settings.
Status: Ignored

Infected files detected
c:\windows\toolbar.exe


Unclassified.Trojan.E Trojan more information...
Status: Ignored

Infected files detected
c:\windows\system32\dktibs.exe


KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Ignored

Infected registry entries detected
HKEY_CURRENT_USER\Software\Kazaa
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 1 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 2 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 3 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 4 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 5 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 6 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 7 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 8 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 9 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 10 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 0 151
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 1 108
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 2 76
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 3 76
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 4 60
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 5 82
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 6 64
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 7 60
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 8 50
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 9 80
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 10 64
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 11 180
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 0 151
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 0 146
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 1 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 2 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 3 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 4 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 5 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 6 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 7 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 8 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 1 108
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 2 76
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 3 76
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 4 76
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 5 60
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 6 82
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 7 64
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 8 55
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 0 151
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 9 80
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 10 64
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 11 180
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 1 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 2 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 3 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 4 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 5 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 6 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 7 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 8 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 9 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 10 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 11 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 0 151
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Settings WindowPos 0,3,-32000,-32000,-1,-1,44,58,812,588
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 0 146
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 1 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 2 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 3 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 4 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 5 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 6 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 7 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 8 0
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 1 108
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 2 76
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 3 76
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 4 64
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 5 60
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 6 82
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 7 50
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 8 64
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 9 80
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 10 64
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 11 180
HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 0 151
HKEY_CURRENT_USER\Software\Kazaa\UserDetails UserName kelchleerer
HKEY_CURRENT_USER\Software\Kazaa\UserDetails Password e882b72bccfc2ad578c27b0d9b472a14
HKEY_CURRENT_USER\Software\Kazaa\UserDetails PasswordLength 6
HKEY_CURRENT_USER\Software\Kazaa\UserDetails UserDetailsSent 0


KillAndClean Rogue Security Program more information...
Status: Ignored

Infected registry entries detected
HKEY_CURRENT_USER\Software\KillAndClean
HKEY_CURRENT_USER\Software\KillAndClean\Options AutoScanOnStartup 1
HKEY_CURRENT_USER\Software\KillAndClean\Options StartWithWindows 1
HKEY_CURRENT_USER\Software\KillAndClean\Options EnableMonitor 1
Seitenanfang Seitenende
15.06.2006, 21:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 das ist nicht erschreckend, das war zu erwarten... ;)
scanne noch mal und stelle alles auf *Remove --> Status: Deleted

Zitat

* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende