Home » Spyware & Browser Hijacker Support Forum » spyaxe, quake, trojan.popuper, trojanDownloaderZlob » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

spyaxe, quake, trojan.popuper, trojanDownloaderZlob

18.06.2006, 17:49

noqtambule

...neu hier

Beiträge: 5

#1 hallo!
bin infinziert... rechts in der taskleiste sind zwei blinkende icons, ein rotes rundes und ein gelbes "warndreieck", bei denen sich auch ständig fenster öffnen "your computer is infected", "spyware pop-up manager" etc.
zuerst hab ich mir "spyware doctor" runtergeladen, der hat dann angeblich 280 infizierte dateien gefunden, unter anderem von spyware quake, spyAxe, Trojan.Popuper, TrojanDownloaderZlob-irgendwas etc. (dass spyware doctor ca 40€ kostet und nur in der registrierten version auch die dateien löscht, hab ich natürlich erst hinterher gecheckt, ich blödi..)
zusätzlich zu den icons in der taskleiste poppen jetzt auch immer wieder werbefenster aus, im internet explorer, den ich sonst nie verwende... und von spyware doctor poppen auch warnfenster auf, "Browser Guard, Neues BHO entdeckt. "Nothing" Dies wurde de-registriert." Soll ich den Spyware doctor einfach wieder löschen?

anbei mein hijackThis-logfile und die DatFindbat-logs.. cleanUp hab ich erst nach dem logfile-erstellen durchgeführt, der hat aber nicht alles löschen können, weil immer irgendwelche dinge grad in verwendung waren.
hoffe mir kann jemand helfen, muss derzeit ganz viel am computer arbeiten, und der sch*ß nervt unglaublich, und ich hab angst vor abstürzen (langsamer ist er auch geworden)

Logfile of HijackThis v1.99.1
Scan saved at 16:55:56, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\FreePDF_XP\fpassist.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Spyware Doctor\swdoctor.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.BIN
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programme\Spyware Doctor\sdhelp.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\atmclk.exe
D:\WINDOWS\system32\dcomcfg.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\mimi\LOKALE~1\Temp\Rar$EX01.360\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [OM_Monitor] D:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [_SystemBoot] D:\WINDOWS\Help\Help\services.exe
O4 - HKCU\..\Run: [OM_Monitor] D:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = D:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107373709562
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - D:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

DATFINDBAT:
system32.txt:

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: E0AE-693E

Verzeichnis von D:\WINDOWS\system32

18.06.2006 17:12 5.000 stdole3.tlb
18.06.2006 16:18 8.704 simpole.tlb
18.06.2006 16:18 50.176 hp102.tmp
18.06.2006 16:18 1.218 ikhcore.log
18.06.2006 16:17 50.176 hp101.tmp
18.06.2006 16:14 50.176 hp100.tmp
18.06.2006 16:14 54.285 ld100.tmp
18.06.2006 13:22 76.800 dcomcfg.exe
18.06.2006 13:22 10.860 atmclk.exe
18.06.2006 13:22 4.286 ot.ico
18.06.2006 13:22 4.286 ts.ico
18.06.2006 13:22 176.128 xuefh.dll
18.06.2006 13:15 65.037 regperf.exe
09.06.2006 03:19 5.967.776 MRT.exe
03.06.2006 17:43 2.206 wpa.dbl
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
29.05.2006 11:52 7.006 jupdate-1.5.0_06-b05.log
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
02.05.2006 00:10 5.457 qtplugin.log
29.04.2006 06:07 5.533.696 wmp.dll
11.04.2006 17:04 37.270 OggDSUninst.exe
27.03.2006 11:37 380.350 perfh009.dat
27.03.2006 11:37 52.764 perfc009.dat
27.03.2006 11:37 391.000 perfh007.dat
27.03.2006 11:37 63.580 perfc007.dat
27.03.2006 11:37 897.954 PerfStringBackup.INI
19.03.2006 11:46 380.832 FNTCACHE.DAT
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll

temp (da habe ich heute fast alles gelöscht…):
Verzeichnis von D:\DOKUME~1\mimi\LOKALE~1\Temp

18.06.2006 17:15 512 ~DF9A7.tmp
18.06.2006 17:12 240 datFind.zip
18.06.2006 17:01 212.843 hijackthis_199.zip
18.06.2006 16:56 512 ~DF9678.tmp
18.06.2006 16:56 512 ~DFCAB6.tmp
18.06.2006 16:18 16.384 Perflib_Perfdata_750.dat
18.06.2006 16:14 16.384 ~DF6424.tmp
15.06.2006 20:34 114 DFC5A2B2.TMP
10.06.2005 20:32 162 ~$ganisatorisches_Strukturvorlesung_2005.doc
9 Datei(en) 247.663 Bytes
0 Verzeichnis(se), 35.735.527.424 Bytes frei

windows:

Verzeichnis von D:\WINDOWS

18.06.2006 16:21 1.337.903 WindowsUpdate.log
18.06.2006 16:14 0 0.log
18.06.2006 16:14 159 wiadebug.log
18.06.2006 16:14 50 wiaservc.log
18.06.2006 16:13 2.048 bootstat.dat
18.06.2006 15:17 32.308 SchedLgU.Txt
17.06.2006 17:03 54.156 QTFont.qfn
16.06.2006 16:17 32.861 spupdsvc.log
16.06.2006 16:08 73.911 iis6.log
16.06.2006 16:08 171.359 comsetup.log
16.06.2006 16:08 104.123 ntdtcsetup.log
16.06.2006 16:08 26.679 ocmsn.log
16.06.2006 16:08 1.374 imsins.log
16.06.2006 16:08 190.711 tsoc.log
16.06.2006 16:08 10.375 KB917734.log
16.06.2006 16:08 52.728 wmsetup.log
16.06.2006 16:08 255.004 ocgen.log
16.06.2006 16:08 24.810 msgsocm.log
16.06.2006 16:08 478.751 FaxSetup.log
16.06.2006 16:08 820.355 setupapi.log
16.06.2006 16:06 1.374 imsins.BAK
16.06.2006 16:06 14.302 KB918439.log
16.06.2006 16:05 14.639 KB917344.log
16.06.2006 16:05 14.420 KB917953.log
16.06.2006 16:05 14.138 KB911280.log
16.06.2006 16:04 18.151 KB916281.log
16.06.2006 16:04 29.259 updspapi.log
16.06.2006 16:03 11.614 KB914389.log
15.06.2006 13:19 121 Winamp.ini
14.06.2006 13:02 49 NeroDigital.ini
28.05.2006 22:27 1.409 QTFont.for
10.05.2006 10:52 11.783 KB913580.log
26.04.2006 15:13 11.192 KB900485.log
19.04.2006 10:20 15.066 KB908531.log
19.04.2006 10:20 14.282 KB911562.log
19.04.2006 10:19 16.344 KB912812.log
19.04.2006 10:18 18.858 KB911565.log
19.04.2006 10:18 10.736 KB911567.log
05.04.2006 14:15 268 system.tmp
05.04.2006 14:15 268 System.ini
15.03.2006 00:18 40.892 wmsetup10.log
15.03.2006 00:16 599 win.ini
15.03.2006 00:16 599 win.tmp

c.text:

18.06.2006 17:17 0 sys.txt
18.06.2006 17:16 8.779 system.txt
18.06.2006 17:15 736 systemtemp.txt
18.06.2006 17:13 102.965 system32.txt
18.06.2006 16:13 402.653.184 pagefile.sys
5 Datei(en) 402.765.664 Bytes
0 Verzeichnis(se), 35.735.515.136 Bytes frei

ich kenn mich leider überhaupt nicht aus, hoffe deshalb auf eure hilfe!!! danke im voraus

18.06.2006, 18:36

raman

Moderator

Beiträge: 7805

#2 Nuitze bitte smitfrausfix nach dieser Anleitung: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php (incl. Reinigung im abgesicherten Modus)

Du hattest mal einen aktiven Sober Wurm? DEr Eintrag muss auf jeden Fall raus:
O4 - HKCU\..\Run: [_SystemBoot] D:\WINDOWS\Help\Help\services.exe

Danach mache bitte auch noch einen Scan mit Cureit im abgesicherten Modus:
cureit: http://virus-protect.org/cureit.html
abgesicherter Modus: http://www.bsi.bund.de/av/texte/wiederher.htm

Danach berichte, was alles noch von cureit gefunden wurde und ob dein Problem geloest ist.
__________
MfG Ralf
SEO-Spam Hunter

18.06.2006, 18:51

noqtambule

...neu hier

Themenstarter

Beiträge: 5

#3 blöde frage, aber kannst du mir bitte (für dummies) erklären, wie ich das entfernen kann? weiß nicht mal wo oder was die registry ist...
vielen dank jedenfalls, werd jetzt gleich mal das smitfraudfix ausprobieren.

18.06.2006, 18:55

Sabina

Ehrenmitglied

Beiträge: 29434

#4 noqtambule

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "D:\WINDOWS\Help\Help" >>files.txt
dir "D:\WINDOWS\Temp" >>files.txt
notepad files.txt

2.
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

18.06.2006, 19:04

noqtambule

...neu hier

Themenstarter

Beiträge: 5

#5 also das ergebnis von 1.:
Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: E0AE-693E

Verzeichnis von D:\WINDOWS\Help\Help

21.05.2005 17:18 <DIR> .
21.05.2005 17:18 <DIR> ..
12.05.2005 09:30 0 fastso.ber
21.05.2005 16:44 3.406 sacri1.ggg
21.05.2005 16:44 3.362 sacri2.ggg
21.05.2005 16:44 8.353 sacri3.ggg
12.05.2005 10:46 0 sysonce.tst
12.05.2005 09:30 7.984 voner1.von
12.05.2005 09:30 7.984 voner2.von
12.05.2005 09:30 7.984 voner3.von
8 Datei(en) 39.073 Bytes
2 Verzeichnis(se), 36.438.175.744 Bytes frei
Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: E0AE-693E

Verzeichnis von D:\WINDOWS\Temp

18.06.2006 18:33 <DIR> .
18.06.2006 18:33 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.438.171.648 Bytes frei

SILENTRUNNER:
"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "D:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""D:\Programme\Messenger\msmsgs.exe" /background" [MS]
"_SystemBoot" = "D:\WINDOWS\Help\Help\services.exe" [file not found]
"OM_Monitor" = "D:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart" ["OLYMPUS IMAGING CORP."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"kernel32.dll" = "D:\WINDOWS\system32\atmclk.exe" [null data]
"wininet.dll" = "regperf.exe" [null data]
"dcomcfg.exe" = "dcomcfg.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HPDJ Taskbar Utility" = "D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"iTunesHelper" = "D:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "D:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NeroFilterCheck" = "D:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"TkBellExe" = ""D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"AVG7_CC" = "D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"AVG7_EMC" = "D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]
"UserFaultCheck" = "D:\WINDOWS\system32\dumprep 0 -u" [MS]
"WinampAgent" = ""D:\Programme\Winamp\Winampa.exe"" [null data]
"OM_Monitor" = "D:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" ["OLYMPUS IMAGING CORP."]
"FreePDF Assistant" = "D:\Programme\FreePDF_XP\fpassist.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "D:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "D:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{686a161d-5bd1-4999-8832-6393f41e564c}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Nothing"
\InProcServer32\(Default) = "D:\WINDOWS\system32\hp100.tmp" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" [file not found]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "D:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "D:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "D:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "D:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "D:\WINDOWS\system32\browseui.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{6DEA92E9-8682-4b6a-97DE-354772FE5727}" = "Autodesk DWF Preview"
-> {HKLM...CLSID} = "ACDWFTHMBPRXY"
\InProcServer32\(Default) = "D:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll" ["Autodesk"]
"{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "Symbol-Overlay-Steuerprogramm für AutoCAD Digitale Signaturen"
-> {HKLM...CLSID} = "AcSignIcon"
\InProcServer32\(Default) = "D:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"]
"{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview"
-> {HKLM...CLSID} = "ACTHUMBNAIL"
\InProcServer32\(Default) = "D:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "D:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "D:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "D:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "D:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

Default executables:
--------------------

HKCU\Software\Classes\.scr\(Default) = "AutoCADScriptFile"
HKCU\Software\Classes\AutoCADScriptFile\shell\open\command\(Default) = ""D:\WINDOWS\system32\notepad.exe" "%1"" [MS]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "D:\Dokumente und Einstellungen\mimi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS]

Startup items in "mimi" & "All Users" startup folders:
------------------------------------------------------

D:\Dokumente und Einstellungen\mimi\Startmenü\Programme\Autostart
"OpenOffice.org 2.0" -> shortcut to: "D:\Programme\OpenOffice.org 2.0\program\quickstart.exe" [null data]

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"AutoCAD-Startbeschleuniger" -> shortcut to: "D:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe" [null data]
"Microsoft Office" -> shortcut to: "D:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]

Enabled Scheduled Tasks:
------------------------

"Symantec NetDetect" -> launches: "D:\Programme\Symantec\LiveUpdate\NDETECT.EXE" [file not found]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "D:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Encarta &Recherche-Assistent"
\InProcServer32\(Default) = "D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Recherche-Assistent"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "D:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVG7 Alert Manager Server, Avg7Alrt, "D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
iPod Service, iPodService, "D:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Windows User Mode Driver Framework, UMWdf, "D:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt05\Driver = "hpzsnt05.dll" ["HP"]
Redirected Port\Driver = "redmonnt.dll" [null data]

------------------------------------------------------------------
dann noch eine F R A G E: auf smitfraudfix.cmd kann ich im abgesicherten modus nicht zugreifen. kann ich die reinigung im normalen modus durchzuführen, bzw. wie kann ich auf smitfraudfix im abgesicherten modus zugreifen?

Dieser Beitrag wurde am 18.06.2006 um 19:42 Uhr von noqtambule editiert.

18.06.2006, 19:41

Sabina

Ehrenmitglied

Beiträge: 29434

#6 o.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
D:\Dokumente und Einstellungen\mimi\Favoriten\Antivirus Test Online.url
D:\Dokumente und Einstellungen\mimi\Desktop\Remove Spyware.url
D:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
D:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
D:\WINDOWS\system32\adcmmmmq.hjg
D:\WINDOWS\system32\gdfjgthv.cvq
D:\WINDOWS\system32\langeinf.lin
D:\WINDOWS\system32\nonrunso.ber
D:\WINDOWS\system32\seppelmx.smx
D:\WINDOWS\system32\Spammer.ReadMe
D:\WINDOWS\system32\xcvfpokd.tqa
D:\WINDOWS\Help\Help\services.exe
D:\WINDOWS\Help\Help\fastso.ber
D:\WINDOWS\Help\Help\sacri1.ggg
D:\WINDOWS\Help\Help\sacri2.ggg
D:\WINDOWS\Help\Help\sacri3.ggg
D:\WINDOWS\Help\Help\sysonce.tst
D:\WINDOWS\Help\Help\voner1.von
D:\WINDOWS\Help\Help\voner2.von
D:\WINDOWS\Help\Help\voner3.von
D:\WINDOWS\system32\stdole3.tlb
D:\WINDOWS\system32\simpole.tlb
D:\WINDOWS\system32\ikhcore.log
D:\WINDOWS\system32\dcomcfg.exe
D:\WINDOWS\system32\atmclk.exe
D:\WINDOWS\system32\ot.ico
D:\WINDOWS\system32\ts.ico
D:\WINDOWS\system32\xuefh.dll
D:\WINDOWS\system32\regperf.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
öffne das HijackThis -- Button "scan" --Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKCU\..\Run: [_SystemBoot] D:\WINDOWS\Help\Help\services.exe

3.
pc neustarten

4.
arbeite smitfraud im Normalmodus ab, wenn du nicht in den abgesicherten modus kommst.... und poste das log vom scan - C:\rapport.txt
http://virus-protect.org/artikel/tools/smitfrautfix.html

5.
Stinger laden und scannen
http://virus-protect.org/antivirenfree.html

6.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

7.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

18.06.2006, 20:20

noqtambule

...neu hier

Themenstarter

Beiträge: 5

#7 Smitfraud-rapport:
SmitFraudFix v2.62

Scan done at 20:09:45,21, 18.06.2006
Run from D:\Dokumente und Einstellungen\mimi\Desktop
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

neuer hijackThis-Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:21:21, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\FreePDF_XP\fpassist.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.BIN
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\explorer.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\mimi\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [OM_Monitor] D:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [OM_Monitor] D:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = D:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107373709562
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - D:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

D:\WINDOWS\system32\hp???.tmp Deleted
D:\WINDOWS\system32\ld????.tmp Deleted
D:\WINDOWS\system32\1024\ Deleted
D:\DOKUME~1\mimi\FAVORI~1\Antivirus Test Online.url Deleted
D:\Programme\SpywareQuake.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

18.06.2006, 20:24

Sabina

Ehrenmitglied

Beiträge: 29434

#8 .
Stinger laden und scannen
http://virus-protect.org/antivirenfree.html

.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

18.06.2006, 20:37

noqtambule

...neu hier

Themenstarter

Beiträge: 5

#9 Danke!!!! dauert noch ein weilchen, der stinger ist ziemlich langsam.
soll ich die systemwiederherstellung erst nach dem kaspersky-scan wieder aktivieren?

18.06.2006, 23:11

Sabina

Ehrenmitglied

Beiträge: 29434

#10 aktiviere sie erst wieder, wenn alles sauber ist

__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1