Home » Spyware & Browser Hijacker Support Forum » spyfalcon-spyware quake..komme nicht weiter » Themenansicht

spyfalcon-spyware quake..komme nicht weiter

Thema ist geschlossen!
Thema ist geschlossen!
#0
16.08.2006, 21:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#76 Ivo20

1.
wende smitfraud.fix an
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
poste alle diese Logs hier, ich schau dann, was noch geloescht werden muss....
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 23:18
Ivo20
Member

Beiträge: 11
#77 hei du!
Hier kommt der erste Log (ich weiß nicht ob du den brauchst, das ist der, der nach dem scan aufgezeichnet wurde)
SmitFraudFix v2.81

Scan done at 22:49:57,43, 16.08.2006
Run from C:\Dokumente und Einstellungen\Peter Raband\Eigene Dateien\Downloads\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ishost.exe FOUND !
C:\WINDOWS\system32\ismon.exe FOUND !
C:\WINDOWS\system32\isnotify.exe FOUND !
C:\WINDOWS\system32\issearch.exe FOUND !
C:\WINDOWS\system32\ixt?.dll FOUND !
C:\WINDOWS\system32\ixt??.dll FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\urroxtl.dll FOUND !
C:\WINDOWS\system32\components\flx?.dll FOUND !
C:\WINDOWS\system32\components\flx??.dll FOUND !
C:\WINDOWS\system32\components\flx???.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter Raband\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\PETERR~1\FAVORI~1

C:\DOKUME~1\PETERR~1\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\Safety Bar\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

und hier ist der, der nach dem zweiten teil erstellt wurde:

SmitFraudFix v2.81

Scan done at 22:58:50,26, 16.08.2006
Run from C:\Dokumente und Einstellungen\Peter Raband\Eigene Dateien\Downloads\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\urroxtl.dll -> Hoax.Win32.Renos.gen.bHoax.Win32.Renos.gen.c
C:\WINDOWS\system32\urroxtl.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ismon.exe Deleted
C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\components\flx?.dll Deleted
C:\DOKUME~1\PETERR~1\FAVORI~1\Antivirus Test Online.url Deleted
C:\Programme\Safety Bar\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
17.08.2006, 12:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#78 Ivo20

poste alle diese Logs hier, ich schau dann, was noch geloescht werden muss....
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2006, 14:50
Ivo20
Member

Beiträge: 11
#79 Hei Sabina...
ich würde die Logs gerne da posten, allerdings funktioniwet irgendwie die Antwortfunktion auf der Seite nicht. Reichen dir die Logs auf dieser Seite hier nicht???
MfG
Ivo
Seitenanfang Seitenende
17.08.2006, 14:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#80

Zitat

allerdings funktioniwet irgendwie die Antwortfunktion auf der Seite nicht
du sollst die logs hier reinkopieren, in diesen Thread !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2006, 15:38
Ivo20
Member

Beiträge: 11
#81 ja aber die logs stehen doch da oben!
Seitenanfang Seitenende
17.08.2006, 16:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#82

Zitat

poste alle diese Logs hier, ich schau dann, was noch geloescht werden muss....
http://board.protecus.de/t23187.htm
das will ich sehen, bist du so, oder tust du nur so ;)

1.
Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 4 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2006, 16:42
Ivo20
Member

Beiträge: 11
#83 Hei du...
SOrry, aber wir haben wohl an einander vorbei geredet...
Leider funktioniert das Combofix nicht bei mir, weil er mir dagt ich hätte keine Administrationsberechtigung...

Hier der hijackthis-Log:
Logfile of HijackThis v1.99.1
Scan saved at 16:25:49, on 17.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\admtray.exe
C:\PROGRA~1\WLANMO~1\wlconfig.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\iTunes\iTunesHelper.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
D:\ICQ\ICQLite.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Peter Raband\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {C87E97F0-0332-56B8-12BA-26C0DB5301B7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [wlconfig] C:\PROGRA~1\WLANMO~1\wlconfig.exe -autostart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [f1c56988.exe] C:\WINDOWS\system32\f1c56988.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [f1c56988.exe] C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Anwendungsdaten\f1c56988.exe
O4 - HKCU\..\Run: [Shea] "C:\WINDOWS\DOBE~1\ntvdm.exe" -vt yax
O4 - HKCU\..\Run: [Rpott] C:\WINDOWS\?dobe\w?nspool.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQ\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

und hier sie datfind logs

system32
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

17.08.2006 16:34 321.939 pqstv.ini2
17.08.2006 16:30 451 eRLog.ini
17.08.2006 15:44 12.820 otwhglsa.exe
17.08.2006 15:44 12.308 aqwyarhy.exe
17.08.2006 15:44 713.862 pqstv.bak2
17.08.2006 10:17 177.056 FNTCACHE.DAT
17.08.2006 10:05 12.820 ffsmapwl.exe
17.08.2006 10:04 12.308 tqsjnlmp.exe
16.08.2006 23:02 12.820 fyqvccie.exe
16.08.2006 23:02 12.308 bpibsqft.exe
16.08.2006 19:53 12.820 fqxtovff.exe
16.08.2006 19:53 12.308 lgddyatb.exe
16.08.2006 19:53 143 mcrh.tmp
16.08.2006 19:41 12.308 jwbpogej.exe
16.08.2006 19:41 12.820 bqcxiltw.exe
16.08.2006 02:16 321.889 pqstv.ini
16.08.2006 02:05 321.873 pqstv.tmp
16.08.2006 01:37 1.158 wpa.dbl
16.08.2006 00:20 382.026 perfh009.dat
16.08.2006 00:20 64.848 perfc007.dat
16.08.2006 00:20 393.086 perfh007.dat
16.08.2006 00:20 53.770 perfc009.dat
16.08.2006 00:20 902.476 PerfStringBackup.INI
15.08.2006 23:59 176.167 rmoc3260.dll
15.08.2006 23:58 5.632 pndx5032.dll
15.08.2006 23:58 6.656 pndx5016.dll
15.08.2006 23:57 278.528 pncrt.dll
15.08.2006 23:13 316.215 pqstv.bak1
15.08.2006 23:12 573.492 vtsqp.dll
15.08.2006 22:44 2 wnsapisv.exe
15.08.2006 20:50 308 results.txt
15.08.2006 20:46 37.410 $winnt$.inf
09.08.2006 12:03 8.325.544 MRT.exe
07.08.2006 16:02 534.208 SymNeti.dll
07.08.2006 16:02 161.472 SymRedir.dll
28.07.2006 13:28 3.075.072 mshtml.dll
28.07.2006 13:28 3.075.072 SET588.tmp
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 SET581.tmp
25.07.2006 22:33 615.936 urlmon.dll
25.07.2006 18:03 466.944 capicom.dll
21.07.2006 10:29 72.704 hlink.dll
17.07.2006 17:19 579.090 x264vfw.dll
14.07.2006 17:38 332.288 SET64A.tmp
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 SET5FB.tmp
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 20:02 5.120 ff_vfw.dll


temp:
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\PETERR~1\LOKALE~1\Temp

17.08.2006 16:31 409.600 ~DFD292.tmp
1 Datei(en) 409.600 Bytes
0 Verzeichnis(se), 22.610.935.808 Bytes frei

windows:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

17.08.2006 16:29 1.185.118 WindowsUpdate.log
17.08.2006 15:03 211 wiadebug.log
17.08.2006 15:03 50 wiaservc.log
17.08.2006 15:03 241 lexstat.ini
17.08.2006 14:43 0 0.log
17.08.2006 14:43 4.198 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
17.08.2006 14:42 2.048 bootstat.dat
17.08.2006 10:52 9.368 SchedLgU.Txt
17.08.2006 10:10 43.520 KB899587.log
17.08.2006 10:10 60.382 updspapi.log
17.08.2006 10:10 42.687 KB911927.log


c:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

17.08.2006 16:37 0 sys.txt
17.08.2006 16:36 10.265 system.txt
17.08.2006 16:35 286 systemtemp.txt
17.08.2006 16:34 109.297 system32.txt
17.08.2006 14:42 526.503.936 hiberfil.sys
17.08.2006 14:42 792.723.456 pagefile.sys
16.08.2006 22:59 1.577 rapport.txt
15.08.2006 20:46 211 boot.ini

bitte! ;)
Seitenanfang Seitenende
17.08.2006, 21:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#84 0.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_ALL_USERS\Software\SerG
HKEY_ALL_USERS\Software\Pop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winds_24
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SBSoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtsqp

Files to delete:
C:\WINDOWS\system32\pqstv.ini2
C:\WINDOWS\system32\otwhglsa.exe
C:\WINDOWS\system32\aqwyarhy.exe
C:\WINDOWS\system32\pqstv.bak2
C:\WINDOWS\system32\ffsmapwl.exe
C:\WINDOWS\system32\tqsjnlmp.exe
C:\WINDOWS\system32\fyqvccie.exe
C:\WINDOWS\system32\bpibsqft.exe
C:\WINDOWS\system32\fqxtovff.exe
C:\WINDOWS\system32\lgddyatb.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\jwbpogej.exe
C:\WINDOWS\system32\bqcxiltw.exe
C:\WINDOWS\system32\pqstv.ini
C:\WINDOWS\system32\pqstv.tmp
C:\WINDOWS\system32\pqstv.bak1
C:\WINDOWS\system32\vtsqp.dll
C:\WINDOWS\system32\wnsapisv.exe
C:\WINDOWS\system32\f1c56988.exe
C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Anwendungsdaten\f1c56988.exe
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {C87E97F0-0332-56B8-12BA-26C0DB5301B7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [f1c56988.exe] C:\WINDOWS\system32\f1c56988.exe
O4 - HKCU\..\Run: [f1c56988.exe] C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Anwendungsdaten\f1c56988.exe
O4 - HKCU\..\Run: [Shea] "C:\WINDOWS\DOBE~1\ntvdm.exe" -vt yax
O4 - HKCU\..\Run: [Rpott] C:\WINDOWS\?dobe\w?nspool.exe

O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

PC neustarten

**
scanne und poste den scanreport, ich will sehen, ob das proggie den Purityscan loescht !
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2006, 02:04
Ivo20
Member

Beiträge: 11
#85 Avenger:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_ALL_USERS\Software\SerG


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_ALL_USERS\Software\Pop


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vqjlxmsh

*******************

Script file located at: \??\C:\WINDOWS\system32\sfufbnmn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\pqstv.ini2 not found!
Deletion of file C:\WINDOWS\system32\pqstv.ini2 failed!

Could not process line:
C:\WINDOWS\system32\pqstv.ini2
Status: 0xc0000034



File C:\WINDOWS\system32\otwhglsa.exe not found!
Deletion of file C:\WINDOWS\system32\otwhglsa.exe failed!

Could not process line:
C:\WINDOWS\system32\otwhglsa.exe
Status: 0xc0000034



File C:\WINDOWS\system32\aqwyarhy.exe not found!
Deletion of file C:\WINDOWS\system32\aqwyarhy.exe failed!

Could not process line:
C:\WINDOWS\system32\aqwyarhy.exe
Status: 0xc0000034



File C:\WINDOWS\system32\pqstv.bak2 not found!
Deletion of file C:\WINDOWS\system32\pqstv.bak2 failed!

Could not process line:
C:\WINDOWS\system32\pqstv.bak2
Status: 0xc0000034



File C:\WINDOWS\system32\ffsmapwl.exe not found!
Deletion of file C:\WINDOWS\system32\ffsmapwl.exe failed!

Could not process line:
C:\WINDOWS\system32\ffsmapwl.exe
Status: 0xc0000034



File C:\WINDOWS\system32\tqsjnlmp.exe not found!
Deletion of file C:\WINDOWS\system32\tqsjnlmp.exe failed!

Could not process line:
C:\WINDOWS\system32\tqsjnlmp.exe
Status: 0xc0000034



File C:\WINDOWS\system32\fyqvccie.exe not found!
Deletion of file C:\WINDOWS\system32\fyqvccie.exe failed!

Could not process line:
C:\WINDOWS\system32\fyqvccie.exe
Status: 0xc0000034



File C:\WINDOWS\system32\bpibsqft.exe not found!
Deletion of file C:\WINDOWS\system32\bpibsqft.exe failed!

Could not process line:
C:\WINDOWS\system32\bpibsqft.exe
Status: 0xc0000034



File C:\WINDOWS\system32\fqxtovff.exe not found!
Deletion of file C:\WINDOWS\system32\fqxtovff.exe failed!

Could not process line:
C:\WINDOWS\system32\fqxtovff.exe
Status: 0xc0000034



File C:\WINDOWS\system32\lgddyatb.exe not found!
Deletion of file C:\WINDOWS\system32\lgddyatb.exe failed!

Could not process line:
C:\WINDOWS\system32\lgddyatb.exe
Status: 0xc0000034

File C:\WINDOWS\system32\mcrh.tmp deleted successfully.


File C:\WINDOWS\system32\jwbpogej.exe not found!
Deletion of file C:\WINDOWS\system32\jwbpogej.exe failed!

Could not process line:
C:\WINDOWS\system32\jwbpogej.exe
Status: 0xc0000034



File C:\WINDOWS\system32\bqcxiltw.exe not found!
Deletion of file C:\WINDOWS\system32\bqcxiltw.exe failed!

Could not process line:
C:\WINDOWS\system32\bqcxiltw.exe
Status: 0xc0000034



File C:\WINDOWS\system32\pqstv.ini not found!
Deletion of file C:\WINDOWS\system32\pqstv.ini failed!

Could not process line:
C:\WINDOWS\system32\pqstv.ini
Status: 0xc0000034



File C:\WINDOWS\system32\pqstv.tmp not found!
Deletion of file C:\WINDOWS\system32\pqstv.tmp failed!

Could not process line:
C:\WINDOWS\system32\pqstv.tmp
Status: 0xc0000034



File C:\WINDOWS\system32\pqstv.bak1 not found!
Deletion of file C:\WINDOWS\system32\pqstv.bak1 failed!

Could not process line:
C:\WINDOWS\system32\pqstv.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\vtsqp.dll not found!
Deletion of file C:\WINDOWS\system32\vtsqp.dll failed!

Could not process line:
C:\WINDOWS\system32\vtsqp.dll
Status: 0xc0000034

File C:\WINDOWS\system32\wnsapisv.exe deleted successfully.


File C:\WINDOWS\system32\f1c56988.exe not found!
Deletion of file C:\WINDOWS\system32\f1c56988.exe failed!

Could not process line:
C:\WINDOWS\system32\f1c56988.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Anwendungsdaten\f1c56988.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Anwendungsdaten\f1c56988.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Anwendungsdaten\f1c56988.exe
Status: 0xc0000034



File C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
Status: 0xc0000034



File C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winds_24 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winds_24 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SBSoft not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SBSoft failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtsqp not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtsqp failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Superantispyware 1. durchlauf:

SUPERAntiSpyware Scan Log
Generated 08/17/2006 at 11:05 PM

Core Rules Database Version : 3055
Trace Rules Database Version: 1102

Memory Thread detected : 0
Registry Thread detected : 33
File Thread detected : 53

Adware.IWantSearchBar
HKLM\Software\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32#ThreadingModel
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\ProgID
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\VersionIndependentProgID
C:\WINDOWS\system32\ToolBand.dll
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\ToolBand.ToolBandObj.1
HKCR\ToolBand.ToolBandObj.1\CLSID
HKCR\ToolBand.ToolBandObj
HKCR\ToolBand.ToolBandObj\CLSID
HKCR\ToolBand.ToolBandObj\CurVer
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\FLAGS
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR
HKU\S-1-5-21-1007273258-3895049819-185183805-1006\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

Adware.Vundo Variant
HKLM\Software\Classes\CLSID\{D90D558F-9686-4378-B46D-DFB86EF0B3E5}
HKCR\CLSID\{D90D558F-9686-4378-B46D-DFB86EF0B3E5}
HKCR\CLSID\{D90D558F-9686-4378-B46D-DFB86EF0B3E5}\InprocServer32
HKCR\CLSID\{D90D558F-9686-4378-B46D-DFB86EF0B3E5}\InprocServer32#ThreadingModel
C:\WINDOWS\system32\vtsqp.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D90D558F-9686-4378-B46D-DFB86EF0B3E5}
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP26\A0002987.DLL
C:\VundoFix Backups\vtsqp.dll

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Peter Raband\Cookies\peter raband@indexstats[1].txt
C:\Dokumente und Einstellungen\Peter Raband\Cookies\peter raband@winantivirus[1].txt
C:\Dokumente und Einstellungen\Peter Raband\Cookies\peter raband@rambler[2].txt
C:\Dokumente und Einstellungen\Peter Raband\Cookies\peter raband@atwola[1].txt
C:\Dokumente und Einstellungen\Peter Raband\Cookies\peter raband@stats1.reliablestats[1].txt
C:\Dokumente und Einstellungen\Peter Raband\Cookies\peter raband@de.winantivirus[2].txt
D:\Cookies\ivos xp@2o7[2].txt
D:\Cookies\ivos xp@ad.yieldmanager[1].txt
D:\Cookies\ivos xp@adopt.hbmediapro[2].txt
D:\Cookies\ivos xp@advertising[1].txt
D:\Cookies\ivos xp@as-eu.falkag[1].txt
D:\Cookies\ivos xp@atwola[1].txt
D:\Cookies\ivos xp@banner.prestigecasino[1].txt
D:\Cookies\ivos xp@cassava[1].txt
D:\Cookies\ivos xp@doubleclick[1].txt
D:\Cookies\ivos xp@exitexchange[2].txt
D:\Cookies\ivos xp@indexstats[1].txt
D:\Cookies\ivos xp@pacificpoker[1].txt
D:\Cookies\ivos xp@revenue[1].txt
D:\Cookies\ivos xp@revsci[2].txt
D:\Cookies\ivos xp@sento.122.2o7[1].txt
D:\Cookies\ivos xp@stats1.reliablestats[2].txt
D:\Cookies\ivos xp@tradedoubler[2].txt
D:\Cookies\ivos xp@www.etracker[1].txt
D:\Cookies\ivos xp@www.zanox-affiliate[1].txt
D:\Cookies\ivos xp@zedo[2].txt

Trojan.Malware
HKCR\MezziaCodec.Chl
HKCR\MezziaCodec.Chl\CLSID

Adware.ClickSpring/Yazzle
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/YazzleActiveX.ocx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/YazzleActiveX.ocx#.Owner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/YazzleActiveX.ocx#{74CD40EA-EF77-4BAD-808A-B5982DA73F20}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs#C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx [  ]
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP19\A0001512.exe

Malware.Notifier
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP15\A0001086.dll
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP17\A0001362.dll
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP20\A0001907.dll
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP21\A0002075.dll
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP21\A0002094.DLL
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP23\A0002153.DLL
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP24\A0002388.DLL
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP24\A0002401.exe
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP24\A0002402.dll

Unclassified.Unknown Origin/System
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP16\A0001096.exe
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP18\A0001371.exe
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP18\A0001372.exe

Adware.ClickSpring
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP16\A0001101.dll

Unclassified.Unknown Origin
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP19\A0001380.dll

Adware.ToolBar888
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP19\A0001505.dll

Adware.Director
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP19\A0001506.exe
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP19\A0001509.exe

Trojan.Unknown Origin
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP19\A0001508.dll
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP26\A0003024.exe

Trojan.SpyFalcon
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP24\A0002398.dll

Trojan.Drop/Gen Variant
D:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP19\A0001383.exe

Browser Hijacker.Favorites
D:\Favoriten\Antivirus Test Online.url

Superantispyware 2. durchlauf (abgesicherter Modus):

SUPERAntiSpyware Scan Log
Generated 08/18/2006 at 00:03 AM

Core Rules Database Version : 3055
Trace Rules Database Version: 1102

Memory Thread detected : 0
Registry Thread detected : 0
File Thread detected : 2

Adware.ClickSpring
C:\WINDOWS\DOBE~2\WNSPOO~1.EXE

Adware.Vundo Variant
C:\System Volume Information\_restore{8DE85AF6-13F3-46BD-94E4-F795115ACD44}\RP27\A0003067.dll
Seitenanfang Seitenende
18.08.2006, 13:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#86 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Acer\Empowering Technology" >>files.txt
dir "C:\Acer\Empowering Technology\ePower" >>files.txt
dir "C:\Acer\Empowering Technology\eDataSecurity" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2006, 16:42
Ivo20
Member

Beiträge: 11
#87 Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Acer\Empowering Technology

15.08.2006 20:48 <DIR> .
15.08.2006 20:48 <DIR> ..
15.08.2006 20:48 <DIR> eDataSecurity
15.08.2006 20:49 <DIR> ePower
15.08.2006 20:49 <DIR> ePresentation
15.08.2006 20:50 <DIR> eNet
15.08.2006 20:51 <DIR> eRecovery
24.10.2005 16:45 2.462.208 admtray.exe
22.09.2005 15:52 2.439.680 empower.exe
28.06.2005 11:22 93.465 msgbox.skn
29.12.2003 20:45 6.466 mf_system.xml
26.05.2005 10:29 76 OptiServSet_psn.ini
26.05.2005 10:29 0 monsen.ini
26.05.2005 10:29 0 optrestore.rgd
15.08.2006 20:53 1.897 devices.dat
02.08.2004 18:47 18.944 preaction.exe
26.05.2005 10:29 0 dataobj.dat
29.12.2003 20:45 40.960 wlapi.dll
29.12.2003 20:45 40.960 ServiceControl.dll
16.08.2004 10:21 94.208 cpuid_dll.dll
07.09.2005 15:13 65.536 s_it87.dll
05.09.2005 16:31 229.472 NetMonitor.dll
29.12.2003 20:45 419 mf_sensor.xml
26.05.2005 10:29 0 elockalerts.log
02.08.2005 16:44 2.693 Netmnt.inf
26.05.2005 10:29 176 properties.dat
26.05.2005 10:29 0 functions.ini
29.07.2005 15:12 401.920 InstHelp.dll
02.08.2005 16:31 2.738 NdisFilt.inf
26.05.2005 10:29 0 alerts.log
29.12.2003 20:45 167.936 IpmiTrans.dll
06.09.2005 14:26 45.056 OsaFsLoc.dll
31.08.2005 15:16 53.248 sysapi.dll
26.05.2005 10:29 0 chgalerts.log
09.01.2004 19:08 65.536 smbiosapi.dll
07.09.2005 15:13 65.536 s_smsc47m1.dll
08.08.2005 16:06 36.864 InstallNdis.dll
26.05.2005 10:29 0 OriServSet.ini
15.04.2004 22:02 53.248 nbapi.dll
26.05.2005 10:29 0 iphist.dat
29.12.2003 20:45 8.537 mf_smbios.xml
08.08.2005 20:13 65.536 osaiodll.dll
07.09.2005 15:13 65.536 s_lm85m.dll
15.08.2006 20:53 <DIR> Resources
24.10.2005 16:40 1.314.816 admServ.exe
14.01.2005 15:57 4.010 osanbm.sys
30.06.2005 16:58 7.296 osaio.sys
05.09.2005 16:20 24.576 installnet.exe
13.09.2005 15:34 4.392 NdisFilt.sys
02.05.2005 12:13 9.600 Netmnt.sys
13.09.2005 14:57 14.336 snetcfg.exe
15.10.2005 18:20 12.106 OsaFsLoc.sys
26.10.2005 15:51 27.136 instnt.exe
15.08.2006 20:53 <DIR> eLock
15.08.2006 20:54 <DIR> ePerformance
15.08.2006 20:54 <DIR> eSettings
45 Datei(en) 7.947.119 Bytes
11 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Acer\Empowering Technology\ePower

15.08.2006 20:49 <DIR> .
15.08.2006 20:49 <DIR> ..
15.08.2006 20:49 <DIR> MutiLangHelp
15.08.2006 20:49 <DIR> MutiLangXML
26.04.2004 11:49 810 thumb-disable.bmp
25.06.2004 17:35 1.254 battery.bmp
26.04.2004 11:55 6.054 channel.bmp
26.04.2004 11:55 6.054 channel-disable.bmp
06.05.2004 18:27 1.974 device-off.bmp
11.05.2004 15:02 438 device-off-gray.bmp
07.05.2004 09:39 1.974 device-on.bmp
11.05.2004 15:01 438 device-on-gray.bmp
25.06.2004 17:35 1.254 plug.bmp
30.03.2004 11:36 810 thumb.bmp
13.06.2005 10:12 9.294 ePower_w.bmp
13.06.2005 10:12 9.294 ePower_mouseDown.bmp
13.06.2005 10:12 9.294 ePower_mouseOver.bmp
05.07.2004 15:25 44.872 acer.pol
13.05.2004 10:49 24 backup.bat
13.05.2004 10:50 22 load.bat
10.06.2004 14:47 270.435 LoadDefault.exe
04.06.2004 10:01 24 restore.bat
13.06.2004 23:55 1.319.003 AutoService.exe
25.11.2005 15:59 212.992 epm-dm.exe
09.11.2005 11:04 3.084.288 Acer ePower Management.exe
24.06.2004 14:59 674 Acer ePower Management.exe.manifest
15.08.2006 20:49 44.872 backup.pol
23 Datei(en) 5.026.148 Bytes
4 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Acer\Empowering Technology\eDataSecurity

15.08.2006 20:48 <DIR> .
15.08.2006 20:48 <DIR> ..
19.10.2005 09:32 714.240 decryption.exe
19.10.2005 09:32 715.264 encryption.exe
15.08.2006 20:48 <DIR> icon
15.08.2006 20:48 <DIR> Empowering Tecnology Icons
25.05.2005 11:49 6.406 openssl_license.txt
15.08.2006 20:48 <DIR> help
16.06.2005 19:06 14.848 chkacerDLL.dll
19.10.2005 09:31 784.896 eDScsp.exe
19.10.2005 09:31 814.080 eDSmanager.exe
19.10.2005 09:31 739.328 eDSrf.exe
19.10.2005 09:31 363.008 eDSscprf.exe
15.08.2006 20:48 <DIR> Temp
19.10.2005 09:30 69.632 eDSloader.exe
15.08.2006 20:48 <DIR> Log
15.08.2006 20:48 <DIR> locale
9 Datei(en) 4.221.702 Bytes
8 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Windows\System32\Com

29.06.2006 11:38 <DIR> .
29.06.2006 11:38 <DIR> ..
04.08.2004 05:00 9.728 comrepl.exe
04.08.2004 05:00 77.348 comexp.msc
04.08.2004 05:00 61.440 comempty.dat
04.08.2004 05:00 5.120 comrereg.exe
04.08.2004 05:00 19.456 mtsadmin.tlb
26.07.2005 06:39 195.072 comadmin.dll
6 Datei(en) 368.164 Bytes
2 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32\components

15.08.2006 22:44 <DIR> .
15.08.2006 22:44 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

29.06.2006 11:39 <DIR> .
29.06.2006 11:39 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Peter Raband

15.08.2006 20:47 <DIR> .
15.08.2006 20:47 <DIR> ..
15.08.2006 20:48 <DIR> Eigene Dateien
03.01.2006 19:42 <DIR> Startmen
15.08.2006 20:48 <DIR> Favoriten
03.01.2006 19:42 <DIR> Desktop
15.08.2006 22:26 <DIR> WINDOWS
17.08.2006 22:24 462 errorlog.txt
1 Datei(en) 462 Bytes
7 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Program Files

16.08.2006 15:01 <DIR> .
16.08.2006 15:01 <DIR> ..
16.08.2006 15:01 <DIR> ICQLite
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Temp

15.08.2006 20:47 <DIR> .
15.08.2006 20:47 <DIR> ..
17.08.2006 22:18 32.768 ~DF629F.tmp
17.08.2006 22:25 409.600 ~DFCD39.tmp
17.08.2006 16:31 409.600 ~DFD292.tmp
17.08.2006 22:31 409.600 ~DFF4B.tmp
17.08.2006 22:31 16.384 ~DFB404.tmp
18.08.2006 16:40 40.960 rtdrvmon.exe
17.08.2006 17:48 0 4rv4.tmp
17.08.2006 23:07 409.600 ~DFC4F6.tmp
17.08.2006 23:07 1.644 scan0.sca
17.08.2006 23:12 409.600 ~DFE6BE.tmp
17.02.2006 16:55 143.360 SSUPDATE.EXE
18.08.2006 02:25 409.600 ~DFE090.tmp
18.08.2006 10:59 409.600 ~DF2C64.tmp
18.08.2006 13:23 409.600 ~DF78FE.tmp
14 Datei(en) 3.511.916 Bytes
2 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Temp

29.06.2006 11:39 <DIR> .
29.06.2006 11:39 <DIR> ..
17.08.2006 22:21 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
2 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Programme

29.06.2006 11:39 <DIR> .
29.06.2006 11:39 <DIR> ..
03.01.2006 19:42 <DIR> Gemeinsame Dateien
03.01.2006 19:45 <DIR> Windows NT
03.01.2006 19:45 <DIR> MSN
03.01.2006 19:45 <DIR> MSN Gaming Zone
03.01.2006 19:45 <DIR> Messenger
03.01.2006 19:45 <DIR> Windows Media Player
03.01.2006 19:45 <DIR> Online Services
03.01.2006 19:45 <DIR> ComPlus Applications
03.01.2006 19:46 <DIR> Internet Explorer
03.01.2006 19:46 <DIR> Outlook Express
03.01.2006 19:46 <DIR> NetMeeting
03.01.2006 19:46 <DIR> Movie Maker
03.01.2006 19:46 <DIR> Online-Dienste
03.01.2006 19:47 <DIR> microsoft frontpage
03.01.2006 19:47 <DIR> xerox
03.01.2006 19:53 <DIR> Intel
03.01.2006 19:57 <DIR> Realtek
03.01.2006 19:58 <DIR> CONEXANT
03.01.2006 20:04 <DIR> Synaptics
03.01.2006 20:06 <DIR> Acer Inc
03.01.2006 20:07 <DIR> Adobe
03.01.2006 20:11 <DIR> NewTech Infosystems
03.01.2006 20:33 <DIR> CyberLink
06.01.2006 17:17 <DIR> AOL 9.0
06.01.2006 17:18 <DIR> Real
06.01.2006 17:18 <DIR> QuickTime
06.01.2006 17:18 <DIR> Viewpoint
06.01.2006 17:18 <DIR> Learn2.com
15.08.2006 20:49 <DIR> Launch Manager
15.08.2006 20:50 <DIR> WinPCap
16.08.2006 06:04 <DIR> WLAN Monitor
15.08.2006 22:11 <DIR> Mozilla Firefox
15.08.2006 22:14 <DIR> Symantec
15.08.2006 22:14 <DIR> Norton AntiVirus
15.08.2006 22:27 <DIR> Lexmark X1100 Series
16.08.2006 01:25 <DIR> K-Lite Codec Pack
16.08.2006 01:45 <DIR> CleanUp!
16.08.2006 16:00 <DIR> iPod
16.08.2006 17:25 <DIR> Divine Divinity
16.08.2006 17:45 <DIR> directx
16.08.2006 20:27 <DIR> Microsoft Office
16.08.2006 20:27 <DIR> Microsoft.NET
17.08.2006 22:36 <DIR> SUPERAntiSpyware
0 Datei(en) 0 Bytes
45 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Anwendungsdaten

15.08.2006 20:47 <DIR> .
15.08.2006 20:47 <DIR> ..
03.01.2006 19:55 <DIR> ApplicationHistory
03.01.2006 19:47 <DIR> Microsoft
15.08.2006 20:56 145 fusioncache.dat
16.08.2006 06:08 34.232 GDIPFONTCACHEV1.DAT
15.08.2006 22:08 <DIR> Adobe
15.08.2006 22:11 <DIR> Mozilla
17.08.2006 00:51 17.920 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16.08.2006 16:06 <DIR> Apple Computer
3 Datei(en) 52.297 Bytes
7 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Peter Raband\Anwendungsdaten

15.08.2006 20:47 <DIR> .
15.08.2006 20:47 <DIR> ..
03.01.2006 19:51 <DIR> Identities
06.01.2006 17:18 <DIR> You've Got Pictures Screensaver
06.01.2006 17:18 <DIR> AOL
15.08.2006 20:47 <DIR> Macromedia
15.08.2006 20:53 <DIR> Acer
15.08.2006 22:08 <DIR> Adobe
15.08.2006 22:11 <DIR> Mozilla
15.08.2006 22:51 <DIR> Symantec
15.08.2006 23:49 <DIR> Real
16.08.2006 01:26 <DIR> Media Player Classic
16.08.2006 15:01 <DIR> ICQLite
16.08.2006 16:06 <DIR> Apple Computer
17.08.2006 22:36 <DIR> SUPERAntiSpyware.com
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

29.06.2006 11:39 <DIR> .
29.06.2006 11:39 <DIR> ..
03.01.2006 20:07 <DIR> Adobe
06.01.2006 17:17 <DIR> AOL
06.01.2006 17:18 <DIR> QuickTime
06.01.2006 17:18 <DIR> Viewpoint
15.08.2006 20:50 <DIR> Intel
15.08.2006 20:53 <DIR> Acer
15.08.2006 22:14 <DIR> Symantec
16.08.2006 01:37 <DIR> Windows Genuine Advantage
16.08.2006 15:56 <DIR> Apple Computer
0 Datei(en) 0 Bytes
11 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Programme\Gemeinsame Dateien

29.06.2006 11:39 <DIR> .
29.06.2006 11:39 <DIR> ..
03.01.2006 19:42 <DIR> Microsoft Shared
03.01.2006 19:42 <DIR> SpeechEngines
03.01.2006 19:42 <DIR> ODBC
03.01.2006 19:46 <DIR> System
03.01.2006 19:46 <DIR> MSSoap
03.01.2006 19:46 <DIR> Dienste
03.01.2006 19:52 <DIR> InstallShield
03.01.2006 20:07 <DIR> Adobe
03.01.2006 20:11 <DIR> NewTech Infosystems
03.01.2006 20:11 <DIR> muvee Technologies
06.01.2006 17:17 <DIR> aolshare
06.01.2006 17:17 <DIR> aol
06.01.2006 17:18 <DIR> Real
06.01.2006 17:18 <DIR> Nullsoft
16.08.2006 06:04 <DIR> AccSys
15.08.2006 22:13 <DIR> Symantec Shared
16.08.2006 00:00 <DIR> xing shared
16.08.2006 20:27 <DIR> DESIGNER
17.08.2006 22:36 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 22.512.795.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Windows\tasks

29.06.2006 11:39 <DIR> .
29.06.2006 11:39 <DIR> ..
15.08.2006 22:54 552 Norton AntiVirus - Run Full System Scan - Peter Raband.job
1 Datei(en) 552 Bytes
2 Verzeichnis(se), 22.512.795.648 Bytes frei
Seitenanfang Seitenende
18.08.2006, 22:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#88 1.
http://virusscan.jotti.org/de/
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten

C:\Dokumente und Einstellungen\Peter Raband\Lokale Einstellungen\Temp\rtdrvmon.exe

poste den report

2.
poste das neue Log vom HijackThis

3.
poste noch mal die 4 logs von datfindbat

4.
poste noch mal combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2006, 22:32
Ivo20
Member

Beiträge: 11
#89 Datei: rtdrvmon.exe Auslastung:
0% 100%
Status:
OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

hijack:

Logfile of HijackThis v1.99.1
Scan saved at 22:28:10, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\PROGRA~1\WLANMO~1\wlconfig.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Peter Raband\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [wlconfig] C:\PROGRA~1\WLANMO~1\wlconfig.exe -autostart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQ\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winnxl32 - winnxl32.dll (file missing)
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

datfind:

system32:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

18.08.2006 13:24 451 eRLog.ini
17.08.2006 17:31 13.844 osspaaot.exe
17.08.2006 10:17 177.056 FNTCACHE.DAT
16.08.2006 01:37 1.158 wpa.dbl
16.08.2006 00:20 53.770 perfc009.dat
16.08.2006 00:20 382.026 perfh009.dat
16.08.2006 00:20 393.086 perfh007.dat
16.08.2006 00:20 64.848 perfc007.dat
16.08.2006 00:20 902.476 PerfStringBackup.INI
15.08.2006 23:59 176.167 rmoc3260.dll
15.08.2006 23:58 5.632 pndx5032.dll
15.08.2006 23:58 6.656 pndx5016.dll
15.08.2006 23:57 278.528 pncrt.dll
15.08.2006 20:50 308 results.txt
15.08.2006 20:46 37.410 $winnt$.inf
09.08.2006 12:03 8.325.544 MRT.exe
07.08.2006 16:02 534.208 SymNeti.dll
07.08.2006 16:02 161.472 SymRedir.dll
28.07.2006 13:28 3.075.072 mshtml.dll
28.07.2006 13:28 3.075.072 SET588.tmp


temp:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\PETERR~1\LOKALE~1\Temp

18.08.2006 22:27 40.960 rtdrvmon.exe
18.08.2006 22:27 512 ~DF574D.tmp
18.08.2006 22:26 512 ~DFF940.tmp
18.08.2006 17:22 51.376 623079.s5551029.dbe17b6898e1.jpg
18.08.2006 13:23 409.600 ~DF78FE.tmp
18.08.2006 10:59 409.600 ~DF2C64.tmp
18.08.2006 02:25 409.600 ~DFE090.tmp
17.08.2006 23:12 409.600 ~DFE6BE.tmp
17.08.2006 23:07 409.600 ~DFC4F6.tmp
17.08.2006 23:07 1.644 scan0.sca
17.08.2006 22:31 16.384 ~DFB404.tmp
17.08.2006 22:31 409.600 ~DFF4B.tmp
17.08.2006 22:25 409.600 ~DFCD39.tmp
17.08.2006 22:18 32.768 ~DF629F.tmp
17.08.2006 17:48 0 4rv4.tmp
17.08.2006 16:31 409.600 ~DFD292.tmp
17.02.2006 16:55 143.360 SSUPDATE.EXE
17 Datei(en) 3.564.316 Bytes
0 Verzeichnis(se), 22.478.782.464 Bytes frei

windows:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

18.08.2006 22:19 124.627 setupapi.log
18.08.2006 16:40 1.292.536 WindowsUpdate.log
18.08.2006 13:23 0 0.log
18.08.2006 13:23 159 wiadebug.log
18.08.2006 13:23 4.198 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
18.08.2006 13:23 2.048 bootstat.dat
18.08.2006 10:59 11.230 SchedLgU.Txt
18.08.2006 10:59 50 wiaservc.log
17.08.2006 15:03 241 lexstat.ini

c:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

18.08.2006 22:30 0 sys.txt
18.08.2006 22:29 10.265 system.txt
18.08.2006 22:29 1.087 systemtemp.txt
18.08.2006 22:28 108.416 system32.txt
18.08.2006 16:41 16.033 files.txt
18.08.2006 13:23 526.503.936 hiberfil.sys
18.08.2006 13:23 792.723.456 pagefile.sys
17.08.2006 22:26 11.992 avenger.txt
17.08.2006 22:20 2.482 VundoFix.txt
16.08.2006 22:59 1.577 rapport.txt
15.08.2006 20:46 211 boot.ini
15.08.2006 20:46 211 boot.ini.SAB
06.01.2006 17:28 75 Preload.aaa
06.01.2006 17:18 792 IPH.PH
03.01.2006 20:11 50 AUTOEXEC.BAT
03.01.2006 19:47 0 IO.SYS
03.01.2006 19:47 0 MSDOS.SYS
03.01.2006 19:47 0 CONFIG.SYS
04.08.2004 05:00 47.564 NTDETECT.COM
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 4.952 bootfont.bin
21 Datei(en) 1.319.684.283 Bytes
0 Verzeichnis(se), 22.478.651.392 Bytes frei
Seitenanfang Seitenende
18.08.2006, 23:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#90 1.
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\osspaaot.exe
2.
öffne das HijackThis -- Button "scan" -- vor Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90

O20 - Winlogon Notify: winnxl32 - winnxl32.dll (file missing)
PC neustarten

**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: