Trojaner zlob bn

#0
19.06.2006, 15:06
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#1 Trojaner zlob bn.
Hallo zusammen, auch ich habe mir einen Trojaner eingefangen. Der rat in einem anderen Forum lautete, dass ich den PC plattmachen und neu aufsetzten soll. Traue mir das aber nicht zu. Kann mir von euch auch jemand helfen? Habe sehr wenig Ahnung und fast keine Englischkenntnisse.
Dann noch die Frage an alle. Ich weiss mit Sicherheit, von welcher Web site dieser Trojaner kommt. Kann man da eigentlich rechtliche Schritte einleiten oder hat man einfach nur Pech? Die HP ist von einem Hotel in Österreich. Danke im vorraus, Gabi
Seitenanfang Seitenende
19.06.2006, 15:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 nicht plattmachen ;)
arbeite das ab...das kann man saeubern.
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 01:19
Member

Beiträge: 16
#3 So ihr alle zusammen. Ich hoffe ich habe alles soweit richtig gemacht.
Meine Daten sind in der Reihenfolge etwas durcheinander geraten. Hoffentlich nicht so schlimm. Wenn noch was fehlt, bitte bescheid sagen. Von mir Vielen Dank fürs bearbeiten und auswerten.
Ich habe da noch einen Bericht von Spy Sweeper angehangen. Dieser Prozess( HLKM )öffnet sich automatisch bei jeder Anmeldung.Normale Virenprogramme haben bei mir keinen Virus mehr gefunden.

Logfile of HijackThis v1.99.1
Scan saved at 00:23:08, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\AVAST!~1\ashDisp.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\programme\softwin\bitdefender8\bdnagent.exe
C:\programme\softwin\bitdefender8\bdswitch.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
D:\Programme\avast! antivirus\aswUpdSv.exe
D:\Programme\avast! antivirus\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\avast! antivirus\ashWebSv.exe
D:\Programme\avast! antivirus\ashMaiSv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\+++++\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVAST!~1\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] c:\programme\softwin\bitdefender8\bdswitch.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141739469234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145198664781
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2F9AC13-90A7-4277-9322-672FBB21E03C}: NameServer = 217.237.150.97 217.237.149.161
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\avast! antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\avast! antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\avast! antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\avast! antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


22:22: | Beginn der Sitzung, Montag, 19. Juni 2006 |
22:22: Spy Sweeper gestartet
22:22: Suchvorgang unter Verwendung der Definitionsversion eingeleitet. 696
22:22: Suchvorgang im Arbeitspeicher wird gestartet
22:24: Suchvorgang im Arbeitspeicher abgeschlossen, Dauer: 00:01:35
22:24: Suchvorgang in Registrierung wird gestartet
22:24: Gefunden Trojan Horse: trojan-downloader-zlob
22:24: HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || wininet.dll (ID = 1497178)
22:24: Suchvorgang in Registrierung abgeschlossen, Dauer:00:00:16
22:24: Suchvorgang in Cookies wird gestartet
22:24: Gefunden Spy Cookie: mediaplex cookie
22:24: internet@mediaplex[1].txt (ID = 6442)
22:24: Gefunden Spy Cookie: 2o7.net cookie
22:24: internet@msnportal.112.2o7[1].txt (ID = 1958)
22:24: Suchvorgang in Cookies abgeschlossen, Dauer: 00:00:00
22:24: Suchvorgang in Dateien wird gestartet
22:41: Suchvorgang in Dateien abgeschlossen, Dauer: 00:17:21
22:41: Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 00:19:27
22:41: Gefundene Spuren: 3Datentr„ger in Laufwerk C:


ist Lokaler Datentr„ger
Volumeseriennummer: 843E-1EC9

Verzeichnis von C:\

20.06.2006 00:36 0 sys.txt
20.06.2006 00:35 8.271 windows.txt
20.06.2006 00:34 8.271 system.txt
20.06.2006 00:34 898 systemtemp.txt
20.06.2006 00:33 101.048 system32.txt2.txt
20.06.2006 00:32 101.048 system32.txt
20.06.2006 00:31 276.356 hpfr5100.log
20.06.2006 00:04 400.556.032 pagefile.sys
19.06.2006 22:16 12.406.080 AVG7QT.DAT
13.06.2006 22:16 26 13.06.2006221627.txt
12.06.2006 11:10 7.454 caisslog.txt
09.06.2006 15:17 125 09.06.2006151739.txt
01.06.2006 13:08 211 boot.ini
01.06.2006 12:53 47.564 NTDETECT.COM
01.06.2006 12:53 251.184 ntldr
27.05.2006 23:47 2 MSDOS.SYS
30.04.2006 23:19 1.119 INSTALL.LOG
24.04.2006 00:49 7.232 bootex.log
29.03.2006 18:26 2.056 TDBIDXL.DAT
29.03.2006 18:26 3.080 CDBIDXL.DAT
29.03.2006 17:46 32 STFC.IDX
29.03.2006 17:46 2.064 NETRKDB.DAT
29.03.2006 17:46 2.062 NECDB.DAT
29.03.2006 17:46 32 STFF.IDX
29.03.2006 17:46 32 STFE.IDX
29.03.2006 17:46 32 SAUC.IDX
29.03.2006 17:46 32 SAFF.IDX

EDIT (Sabina)Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 843E-1EC9

Verzeichnis von C:\WINDOWS\system32

20.06.2006 00:07 2.206 wpa.dbl
20.06.2006 00:06 41.111 vsconfig.xml
20.06.2006 00:05 16.663 lckfldservicelog.txt
12.06.2006 18:25 0 mslck.dat
12.06.2006 00:05 4.286 ot.ico

02.06.2006 18:20 2.995 CONFIG.NT
02.06.2006 00:11 421.888 pxdrv.dll
02.06.2006 00:11 108.544 pxcpyi64.exe
02.06.2006 00:11 109.568 pxinsi64.exe
02.06.2006 00:11 172.032 pxmas.dll
02.06.2006 00:11 372.736 px.dll
02.06.2006 00:11 56.832 pxcpya64.exe
02.06.2006 00:11 61.440 pxhpinst.exe
02.06.2006 00:11 56.320 pxinsa64.exe
02.06.2006 00:11 339.968 pxwave.dll
02.06.2006 00:11 28.672 vxblock.dll

Verzeichnis von C:\DOKUME~1\Regina\LOKALE~1\Temp

20.06.2006 01:21 0 httpgf15.tmp
20.06.2006 01:21 0 httpgf14.tmp
20.06.2006 01:10 0 httpgf13.tmp
20.06.2006 01:10 0 httpgf12.tmp
20.06.2006 01:00 0 httpgf11.tmp
20.06.2006 00:59 0 httpgf10.tmp
20.06.2006 00:49 0 httpgf9.tmp
20.06.2006 00:49 0 httpgf8.tmp
20.06.2006 00:38 0 httpgf7.tmp
20.06.2006 00:38 0 httpgf6.tmp
20.06.2006 00:27 0 httpgf5.tmp
20.06.2006 00:27 0 httpgf4.tmp
20.06.2006 00:17 0 httpgf3.tmp
20.06.2006 00:16 0 httpgf2.tmp
20.06.2006 00:16 0 httpgf1.tmp
20.06.2006 00:07 0 30EC6.dmp
19.06.2006 21:16 173.401 avg7inst.log
20.03.2006 17:04 766.488 ycomp_setup_cclean.exe
18 Datei(en) 939.889 Bytes
0 Verzeichnis(se), 23.497.379.840 Bytes frei

tentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 843E-1EC9

Verzeichnis von C:\WINDOWS

20.06.2006 00:07 786 setupapi.log
20.06.2006 00:06 0 0.log
20.06.2006 00:06 1.821.718 WindowsUpdate.log
20.06.2006 00:05 159 wiadebug.log
20.06.2006 00:05 50 wiaservc.log
20.06.2006 00:04 730 SchedLgU.Txt
20.06.2006 00:04 2.048 bootstat.dat
20.06.2006 00:03 75.212 ntbtlog.txt
19.06.2006 19:42 1.143 win.ini
19.06.2006 18:52 1.409 QTFont.for
19.06.2006 18:52 54.156 QTFont.qfn
12.06.2006 17:51 116 NeroDigital.ini
12.06.2006 10:20 306 QTW.INI
12.06.2006 09:06 0 pestpatrol5.INI
09.06.2006 16:27 3.611 cdplayer.ini
Dieser Beitrag wurde am 20.06.2006 um 01:29 Uhr von troja editiert.
Seitenanfang Seitenende
20.06.2006, 01:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 troja

es sind 4 Logs in der datfindbat ;)
poste bitte noch die restlichen drei

---
p.s warum postest du deine Daten ? Gibt es Hinweise auf Viren/Spyware-Befall ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 01:38
Member

Beiträge: 16
#5 Ja, tut mir leid, ich bin etwas durcheinander.
Letzte Woche war ich auf einer Seite von einem Hotel in Tirol. Dort konnte man einen virtuellen Rundgang durch das Hotel machen. Zum Abspielen benötigte man den WMP,den ich auch habe. Habe dann auf Zimmer geklickt und es erschien ein Text, dass ich noch einen Video Codec benötige. Nichtsahnend habe ich auf download gedrückt. Konnte mir die Zimmer auch ansehen. Bekam aber dann sofort eine Meldung von Avast. Trojanisches Pferd gefunden. Habe dann in einem anderen Forum nachgefragt. Onlinescanner bei Kasperski, Bitdefender, Ewido gemacht. Kasperski meldete den Trojaner in System Volume System restore. Daraufhin hat man mir geraten, den PC ganz plattzumachen und neu aufzuziehen. Ich bin aber Anfänger auf dem Gebiet und kann auch kein Englisch. Habe dann erstmal die Systemwiederherstellung deaktiviert und im abgesicherten Modus ein paar Virenscans gemacht. Dort wurde kein Virus gefunden. Nur Spy Sweeper gab die Meldung raus. Den Bericht habe ich oben mit gepostet.
Ich hoffe ich habe ausreichend geantwortet, Troja
Seitenanfang Seitenende
20.06.2006, 11:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 troja

das mit dem Hotel..ist ein starkes Stueck, normalerweise holt man sich den Zlob ueber andere Inhalte ;)

0.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

1.
loesche:
C:\WINDOWS\system32\mslck.dat
C:\WINDOWS\system32\ot.ico

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

3.
wende smitfraud.fix an und poste den report
http://virus-protect.org/artikel/tools/smitfrautfix.html

4.
Deinstallieren: ...falls es vorhanden ist.....
"Start -> Einstellungen -> Systemsteuerung -> Software"

C:\Programme\Media-Codec

--------------

Information:
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 14:20
Member

Beiträge: 16
#7 Hallo Sabina!!
Ist aber definitiv die Seite vom Hotel gewesen. Weisst Du zufällig, ob man da irgendetwas machen kann.
So jetzt kommt mein Rapport. Hoffe, alles richtig gemacht zu haben.
Aber noch 3 Fragen : C Progamme Media Codec habe ich im Explorer gelöscht. Dieses Programm findet sich aber noch in der Registry. Sie ist aber leer. Avast hatte sie schon gelöscht.
Zum anderen, was ist mit dem Trojaner, den Spysweeper
(22:24: Gefunden Trojan Horse: trojan-downloader-zlob
22:24: HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || wininet.dll (ID = 1497178) entdeckt hat.
Muß ich sie Systemwiederherstellung jetzt schon wieder aktivieren??
Danke schon mal für deine Mühe. LG Troja
----------------------------------------------------------------
SmitFraudFix v2.62

Scan done at 13:40:58,84, 20.06.2006
Run from C:\Dokumente und Einstellungen\Regina\Eigene Dateien\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Regina\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Regina\FAVORI~1

C:\DOKUME~1\Regina\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

--------------------------------------------------------------
SmitFraudFix v2.62

Scan done at 13:55:50,26, 20.06.2006
Run from C:\Dokumente und Einstellungen\Regina\Eigene Dateien\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\Regina\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
20.06.2006, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 *
der Eintrag , den spysweeper angezeigt hat, wurde durch Anwenden der reg-Datei bereinigt.

*
suche/loesche:..falls es da ist

C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

*
loesche auch den leeren Eintrag in der Registry von Media Codec

*
aktiviere wieder die Systemwiederherstellung

--------------------------------------------------------------------------

schreib mal ans Hotel (ja, ja, die Tiroler.... ;) )und berichte, was geschehen ist und kuendige an, dass du den Hotelnamen + zugehoerige Seite ein allen einschlaegigen Foren verbreiten wirst, wenn sie es nicht aendern ;)
wenigsten sollen sie mal nachschauen, welchen Codec sie da verlinkt haben.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 15:53
Member

Beiträge: 16
#9 Hallo Sabina.
Habe alles ausgeführt, wie du geschrieben hast.
In dem Hotel in Tirol war ich letzte Woche selber ( Feuerwehrfahrt) und habe denen an der Rezeption gleich Bescheid gesagt. Ob sich aber jemand darum kümmert, weiss ich nicht. Ich glaube es allerdings nicht, die sind ja da soooooo freundlich.

Werde jetzt die Systemherstellung wieder aktivieren und nochmal Hitman pro, Spy sweeper und AVG 7.1 Bitdefender online und evtl Kaspersky laufen lassen in der Hoffnung, dass keine Meldungen kommen.
Wenn ich alle Passwörter ändere, kann ich denn meinen Benutzernamen behalten ?

Ich wünsche allen ein schönes Fussballspiel und melde mich aber auf jeden Fall wieder mit den Ergebnissen.
Nochmals vielen Dank für deine schnelle Hilfe. lg Grüsse Troja
Seitenanfang Seitenende
20.06.2006, 16:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 du musst keine Passworte aendern
(es sind keine Keylogger im Spiel)..es geht darum, dass sie dir fuer viel Geld ihre gefakten "Antiviren"-Tools verkaufen wollen...bevor du formatieren musst... ..ist die neue Masche im netschnell und ohne zu arbeiten Kasse zu machen ;) , denn es gibt genug Leute, die drauf reinfallen und bezahlen. (leider)

Onlinescans ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 21:12
Member

Beiträge: 16
#11 Hallo, hier bin ich nochmal.
Also Avast Virus hat nichts gefunden, Spysweeper auch nicht, Kaspersky online scan war auch ok.
Habe mich gefreut. Dann habe ich Hitman Pro laufen lassen und es wurden wieder verdächtige Elemente in der Registry gefunden. Nur kann ich nicht sagen, was, denn Hitman läuft automatisch und löscht wohl auch. Es geht da alles sehr schnell. Danach habe ich einen onlinescan mit Kaspersky durchgeführt. Der Scan war ok.
Bevor ich noch weitere Scans mache ( die vllt nicht nötig sind) habe ich Hijackthis nochmal bemüht. Ich stelle das Ergebnis mal rein. Auch den Report von Hitman Pro.
Kann jemand ( Sabina) sich das nochmal anschauen? Vielen Dank.
Ach übrigens, ich benutze den IE nur für Updates und jetzt für einige Scans. Ansonsten bin ich mit Netscape unterwegs.

-----------------------------------------------------------------
Hitman Pro 2.4.3.3 - Protokolldatei
20-06-2006 18:29

Installationsdateien externer Schutz- und Inspektionskomponenten
STATUS UMSCHREIBUNG VERSION GROOSSE
Aktuell CWShredder Setup 2.19.0.1099 532480 bytes
Aktuell Spybot S&D Setup - 5037072 bytes
Updates
STATUS UMSCHREIBUNG GRÖßE
Aktuell Hitman Pro updater 203843 bytes
Aktuell Hitman Pro uninstaller 247594 bytes
Aktuell SurfRight Launcher 245684 bytes
Aktuell SurfRight Helper 297143 bytes
Aufgearbeitet Ad-Aware SE definitions 687936 bytes
Hitman Pro braucht kein Updates herunter zu laden
Installationsdatei von Spyware Doctor ist nicht verwendbar
Schutzvorrichtungen
Windows Security Update concerning WMF Vulnerability (KB912919)
System is protected against WMF Exploit
Cumulative Security Update for Internet Explorer (KB912812)
With this update your system is protected against several exploits.
For more information visit this Microsoft Security Bulletin: MS06-013
Adobe Flash Player 8 ActiveX control upgrade
ActiveX control is current (no upgrade needed) (8.0.24.0)
Nachrichtendienst ausgeschaltet
Der Nachrichtendienst kann missbraucht werden, um Werbung und Spam in ein Netzwerk zu senden. Microsoft hat deswegen in der Vergangenheit Sicherheitsupdates bereitstellen müssen, um diese Sicherheitsprobleme im Nachrichtendienst zu lösen. Hacker waren in der Lage, mittels Nachrichtendienst bösartige Codes auf ungeschützten Systemen lauffähig zu machen . Der Nachrichtendienst hatte nichts zu tun mit MSN Messenger und Windows Messenger.
Installation auf Abruf ausgeschaltet
Mit Installation auf Abruf werden Webkomponenten automatisch heruntergeladen und installiert. Installation auf Abruf kann durch Websites missbraucht werden, um Spyware zu installieren.
Sicherheitsstufe von Internetzone Internet ist eingestellt auf Medium (aktuelle Benutzer)
Sicherheitsstufe von Internetzone Internet ist eingestellt auf Medium (alle Benutzer)
Die Sicherheitsstufe der Internetzone muss mindestens auf Medium eingestellt sein, um zu verhindern, dass potenziell unsichere (aktive) Inhalte von Webseiten heruntergeladen und ausgeführt werden ohne Erlaubnis vom Nutzer.
Spywareblaster-Schutz angebracht
Dieser Schutz verhindert die Installation von aktiver X-basierter Spyware, Adware, Browserhijackers, Dialer und anderen potenziell unerwünschten Inhalten. Weiterhin blockiert Spyware/Cookies im Internet Explorer und Mozilla/Firefox, und es schränkt die Aktivitäten von möglichen bösartigen Websites im Internet Explorer ein.
SpywareBlaster ist Freeware für den persönlichen und Ausbildungsgebrauch. Für weitere Information sehen Sie http://www.javacoolsoftware.com/spywareblaster.html
Ad-Aware SE Personal, free for private use. 00:11:42
1.06r1 SE1R112 15.06.2006
Ad-Aware inspiziert den Speicher, Register und Ihre Dateien auf der lokalen Festplatte auf Anzeigesoftware, traditionelle Tojaner Pferde, Dialer, Browser Hijackers und cookies.
Tracking Cookie
Spybot - Search & Destroy 00:00:08
Version 1.4 (Build 23.05.2005) Letztes Update der Erkennungsregeln: 01.01.1980
Spybot Search & Destroy untersucht (wie Ad-Aware und Spy Sweeper) den Speicher, Register und Ihren Dateien auf Anzeigesoftware, Dialer, Browser Hijackers und Cookies. Dabei hat Spybot S&D einen immunisierende Funktion (eine Ergänzung zu SpywareBlaster) als Präventivmaßnahme gegen Spyware.
MediaPlex
Common Dialogs
Cookie
PC Tools Spyware Doctor 00:21:39
Version 3.5.0.478 Datenbank 3.04420
Spyware Doctor is a top-rated malware & spyware removal utility that detects and removes your PC from thousands of potential spyware, adware, trojans, keyloggers, spybots and tracking threats.
TSADBOT
Conducent TimeSink
MediaMotor
Trojan.Gaslide.B
Hitman Pro AntiSpyware 1.9.5
Diese zusätzliche Inspektion sucht nach Spyware, Viren, Würmern und Trojaner Pferden, die noch nicht durch externe Komponenten gefunden oder gelöscht wurden.
# Legenda: erkannt als Spyware
# gefunden mit Heuristik
# Hinweis auf spyware
Zusätzliche Inspektion hat keine Spyware, Viren, Würmer oder Trojaner Pferde gefunden
Dieser Protokolldatei wurde zusammengestellt von Hitman Pro, entwickelt von Henk Jan Schepers und Mark Loman
Unterstützen Sie die Allianz gegen Spyware und spenden Sie mit dem Button Spende auf dieser Website www.hitmanpro.de

-----------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:57:13, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\PROGRA~1\AVAST!~1\ashDisp.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\programme\softwin\bitdefender8\bdswitch.exe
D:\Programme\avast! antivirus\aswUpdSv.exe
D:\Programme\avast! antivirus\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Dokumente und Einstellungen\*****\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVAST!~1\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] c:\programme\softwin\bitdefender8\bdswitch.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141739469234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145198664781
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2F9AC13-90A7-4277-9322-672FBB21E03C}: NameServer = 217.237.150.97 217.237.149.161
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\avast! antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\avast! antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\avast! antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\avast! antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Dieser Beitrag wurde am 20.06.2006 um 21:18 Uhr von troja editiert.
Seitenanfang Seitenende
20.06.2006, 23:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wie es ausschaut, wurde noch ein Cookie gefunden, also kein Grund zur Sorge.
Es ist alles wieder o.k. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2006, 11:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13

Zitat

Zone Maps. Wenn ich den Verzeichnisbaum aufmache sind da nur so Ordner mit Sexadresssen.
die kannst du alle loeschen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2006, 11:46
Member

Beiträge: 16
#14

Zitat

Sabina postete
wie es ausschaut, wurde noch ein Cookie gefunden, also kein Grund zur Sorge.
Es ist alles wieder o.k. ;)
----------------------
Hallo Sabina, kannst du mir bitte noch einmal helfen?
LG Troja
--------------------Hallo alle miteinander.
Ich möchte mich doch noch einmal melden, denn ich bin ein wenig beunruhigt. Ich bin heute durch Zufall in der Registry gelandet ( Habe Netscape entfernt und dabei auch einen komischen Ordner gestossen. Er sitzt in: HKEY USERS / Software/Classes/Microsoft/Windows/Currentversion/Internet setting und heißt P3P und Zone Maps. Wenn ich den Verzeichnisbaum aufmache sind da nur so Ordner mit Sexadresssen. Ist das durch den Trojaner entstanden und kann man ihn entfernen?
Vorsichtshalber habe ich ihn mal kopiert und schon mal vorarbeit geleistet.
Bitte kann wer helfen?
---------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:00:24, on 23.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\avast! antivirus\aswUpdSv.exe
D:\Programme\avast! antivirus\ashServ.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\avast! antivirus\ashMaiSv.exe
D:\Programme\avast! antivirus\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\PROGRA~1\AVAST!~1\ashDisp.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\programme\softwin\bitdefender8\bdswitch.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Dokumente und Einstellungen\*******\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.T-online.de
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVAST!~1\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] c:\programme\softwin\bitdefender8\bdswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141739469234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145198664781
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2F9AC13-90A7-4277-9322-672FBB21E03C}: NameServer = 217.237.150.97 217.237.149.161
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\avast! antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\avast! antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\avast! antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\avast! antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

-------------------------------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 843E-1EC9

Verzeichnis von C:\WINDOWS\system32

23.06.2006 10:51 2.206 wpa.dbl
23.06.2006 10:15 41.111 vsconfig.xml
23.06.2006 10:13 17.833 lckfldservicelog.txt
22.06.2006 16:25 2.550 Uninstall.ico
22.06.2006 16:25 1.406 Help.ico
22.06.2006 16:25 30.590 pavas.ico
20.06.2006 23:15 6.961 jupdate-1.5.0_07-b03.log
20.06.2006 19:23 2.158 tmmute.ini
20.06.2006 16:35 2.995 CONFIG.NT
09.06.2006 03:19 5.967.776 MRT.exe
02.06.2006 00:11 421.888 pxdrv.dll
02.06.2006 00:11 108.544 pxcpyi64.exe
02.06.2006 00:11 109.568 pxinsi64.exe
02.06.2006 00:11 172.032 pxmas.dll
02.06.2006 00:11 372.736 px.dll
02.06.2006 00:11 56.832 pxcpya64.exe
02.06.2006 00:11 61.440 pxhpinst.exe
02.06.2006 00:11 56.320 pxinsa64.exe
02.06.2006 00:11 339.968 pxwave.dll
02.06.2006 00:11 28.672 vxblock.dll
02.06.2006 00:10 3.596.288 qt-dx331.dll
02.06.2006 00:09 53.248 dpuGUI10.dll
02.06.2006 00:09 90.112 dpl100.dll
02.06.2006 00:09 593.920 dpuGUI11.dll
02.06.2006 00:09 200.704 dtu100.dll
02.06.2006 00:09 344.064 dpus11.dll
02.06.2006 00:09 57.344 dpv11.dll
02.06.2006 00:09 294.912 dpu11.dll
02.06.2006 00:09 294.912 dpu10.dll
02.06.2006 00:08 700.416 divxdec.ax
02.06.2006 00:07 4.276 divxsm.tlb
02.06.2006 00:07 536.576 DivXsm.exe
02.06.2006 00:07 10.716 dsm_ja.qm
02.06.2006 00:07 15.331 dsm_de.qm
02.06.2006 00:07 15.172 dsm_fr.qm
02.06.2006 00:07 352.401 DivXMedia.ax
02.06.2006 00:07 1.044.480 libdivx.dll
02.06.2006 00:07 200.704 ssldivx.dll
02.06.2006 00:07 245.408 unicows.dll
02.06.2006 00:06 778.240 divx_xx07.dll
02.06.2006 00:06 778.240 divx_xx0c.dll
02.06.2006 00:06 761.856 divx_xx11.dll
02.06.2006 00:06 619.156 DivX.dll
02.06.2006 00:06 12.288 DivXWMPExtType.dll
02.06.2006 00:06 118.784 DivXCodecUpdateChecker.exe
02.06.2006 00:06 8.523 dpude.qm
02.06.2006 00:06 3.136 dtu_de.qm
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 19:03 90 spupdwxp.log
01.06.2006 19:02 103.032 FNTCACHE.DAT
31.05.2006 11:02 624.640 aswBoot.exe
31.05.2006 10:54 90.112 AVASTSS.scr
29.05.2006 17:30 1.494.016 shdocvw.dll
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 402.736 WgaLogon.dll
23.05.2006 17:25 285.488 WgaTray.exe
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
03.05.2006 02:56 127.078 javaws.exe
03.05.2006 02:56 49.265 jpicpl32.cpl
03.05.2006 01:19 53.346 javaw.exe
03.05.2006 01:19 49.248 java.exe
02.05.2006 14:32 565.170 large.bnk
02.05.2006 14:32 278.528 livesnth.dll
02.05.2006 14:32 11.333 cf_lic.txt
02.05.2006 14:32 203.776 clrviddc.dll
29.04.2006 06:07 5.533.696 wmp.dll
27.04.2006 17:49 288.417 SrchSTS.exe
26.04.2006 14:59 250.544 KeyHelp.ocx
25.04.2006 15:30 8 Mlkf.dll
25.04.2006 14:09 7.188 FldLckINSTALL.LOG
21.04.2006 20:07 30.720 Addon2VB.dll
15.04.2006 23:17 374.200 perfh009.dat
15.04.2006 23:17 50.668 perfc009.dat
15.04.2006 23:17 384.546 perfh007.dat
15.04.2006 23:17 61.294 perfc007.dat
15.04.2006 23:17 854.580 PerfStringBackup.INI
13.04.2006 21:28 664 d3d9caps.dat
13.04.2006 21:28 552 d3d8caps.dat
10.04.2006 15:23 7.006 jupdate-1.5.0_06-b05.log
06.04.2006 10:54 73.728 asuninst.exe
05.04.2006 20:57 176.167 rmoc3260.dll
05.04.2006 20:57 5.632 pndx5032.dll
05.04.2006 20:57 6.656 pndx5016.dll
05.04.2006 20:57 278.528 pncrt.dll
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
30.03.2006 17:26 4.212 zllictbl.dat
27.03.2006 20:12 2.272 w95inf16.dll
27.03.2006 20:12 4.608 w95inf32.dll
20.03.2006 20:10 16.832 amcompat.tlb
20.03.2006 20:10 23.392 nscompat.tlb
19.03.2006 17:53 25.065 wmpscheme.xml
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
04.03.2006 17:50 0 asfiles.txt
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll


----------------------------------------------------

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 843E-1EC9

Verzeichnis von C:\DOKUME~1\******\LOKALE~1\Temp

23.06.2006 10:45 0 httpgf7.tmp
23.06.2006 10:45 0 httpgf6.tmp
23.06.2006 10:35 0 httpgf5.tmp
23.06.2006 10:35 0 httpgf4.tmp
23.06.2006 10:25 0 httpgf3.tmp
23.06.2006 10:25 0 httpgf2.tmp
23.06.2006 10:25 0 httpgf1.tmp
7 Datei(en) 0 Bytes
0 Verzeichnis(se), 23.094.022.144 Bytes frei
-------------------

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 843E-1EC9

Verzeichnis von C:\WINDOWS

23.06.2006 10:15 0 0.log
23.06.2006 10:14 1.905.820 WindowsUpdate.log
23.06.2006 10:13 159 wiadebug.log
23.06.2006 10:13 50 wiaservc.log
23.06.2006 10:13 730 SchedLgU.Txt
23.06.2006 10:13 2.048 bootstat.dat
22.06.2006 16:25 32 pavsig.txt
22.06.2006 15:18 31.272 spupdsvc.log
22.06.2006 15:12 46.093 iis6.log
22.06.2006 15:12 20.249 ntdtcsetup.log
22.06.2006 15:12 5.469 ocmsn.log
22.06.2006 15:12 112.458 tsoc.log
22.06.2006 15:12 17.414 KB911280.log
22.06.2006 15:12 14.596 msgsocm.log
22.06.2006 15:12 291.228 FaxSetup.log
22.06.2006 15:12 19.727 updspapi.log
22.06.2006 15:11 1.374 imsins.BAK
22.06.2006 15:11 16.921 KB917953.log
22.06.2006 15:11 20.412 KB916281.log
22.06.2006 15:11 11.108 KB918439.log
22.06.2006 15:10 11.729 KB917344.log
22.06.2006 15:10 11.555 KB914389.log
22.06.2006 15:10 5.452 KB917734.log
21.06.2006 18:46 1.079 win.ini
20.06.2006 23:15 16.250 mozver.dat
20.06.2006 22:32 227 system.ini
19.06.2006 18:52 1.409 QTFont.for
19.06.2006 18:52 54.156 QTFont.qfn
12.06.2006 17:51 116 NeroDigital.ini
12.06.2006 10:20 306 QTW.INI
12.06.2006 09:06 0 pestpatrol5.INI
09.06.2006 16:27 3.611 cdplayer.ini
02.06.2006 22:24 1.148 wmsetup10.log
01.06.2006 19:33 11.410 WgaNotify.log
01.06.2006 19:32 17.360 KB900485.log
01.06.2006 19:31 18.323 KB912812.log
01.06.2006 19:31 10.806 KB911567.log
01.06.2006 19:30 9.954 KB904706.log
01.06.2006 19:30 10.092 KB887742.log
01.06.2006 19:30 9.646 KB887472.log
01.06.2006 19:30 6.056 KB886185.log
01.06.2006 19:03 316.640 WMSysPr9.prx
01.06.2006 18:58 198.337 KB913580.log
01.06.2006 18:46 188.981 KB913446.log
01.06.2006 18:35 189.554 KB912919.log
01.06.2006 18:24 189.561 KB911927.log
01.06.2006 18:13 189.753 KB911562.log
01.06.2006 18:02 189.555 KB910437.log
01.06.2006 17:51 199.597 KB908531.log
01.06.2006 17:40 188.307 KB908519.log
01.06.2006 17:29 189.079 KB905749.log
01.06.2006 17:18 189.071 KB905414.log
01.06.2006 17:07 194.465 KB902400.log
01.06.2006 16:56 188.126 KB901214.log
01.06.2006 16:45 187.262 KB901017.log
01.06.2006 16:34 189.917 KB900725.log
01.06.2006 16:22 187.602 KB899591.log
01.06.2006 16:11 188.173 KB899587.log
01.06.2006 16:00 187.155 KB896428.log
01.06.2006 15:49 188.350 KB896424.log
01.06.2006 15:38 188.175 KB896423.log
01.06.2006 15:27 187.492 KB896422.log
01.06.2006 15:16 187.376 KB896358.log
01.06.2006 15:05 188.236 KB893756.log
01.06.2006 14:54 186.921 KB891781.log
01.06.2006 14:43 190.019 KB890859.log
01.06.2006 14:32 187.780 KB890046.log
01.06.2006 14:21 185.420 KB888302.log
01.06.2006 14:09 186.487 KB888113.log
01.06.2006 13:57 185.221 KB885836.log
01.06.2006 13:46 185.613 KB885835.log
01.06.2006 13:34 185.497 KB885250.log
01.06.2006 13:23 185.213 KB873339.log
01.06.2006 13:08 200 cmsetacl.log
01.06.2006 13:07 270 sessmgr.setup.log
01.06.2006 12:36 573 medctroc.Log
28.05.2006 00:22 23 Kyor.ini
28.05.2006 00:03 24 AM_D8.PRF
26.05.2006 18:06 87.717 Run32A50.mch
26.05.2006 17:12 0 mfont.dat
26.05.2006 17:04 35 A5W.INI
25.05.2006 11:59 41 Filzip.ini
25.05.2006 00:10 279 hpqcopy.INI
24.05.2006 11:03 4.774 WGA.log
10.05.2006 13:50 0 setuperr.log
11.04.2006 16:07 87.184 NSUninst.exe
10.04.2006 17:21 30 RESULT.QTW
10.04.2006 17:21 231 SYSINI.QTW
10.04.2006 17:21 793 WININI.QTW
07.04.2006 13:19 603 wincmd.ini

----------------------------------------

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 843E-1EC9

Verzeichnis von C:\

23.06.2006 10:58 0 sys.txt
23.06.2006 10:57 8.520 system.txt
23.06.2006 10:57 593 systemtemp.txt
23.06.2006 10:55 101.403 system32.txt
23.06.2006 10:13 400.556.032 pagefile.sys
21.06.2006 14:15 279.372 hpfr5100.log
20.06.2006 22:32 211 boot.ini
20.06.2006 13:56 997 rapport.txt
20.06.2006 00:41 889 DirDPF.txt, echo zip.txt
20.06.2006 00:40 889 DirDPF.txt
20.06.2006 00:40 2 DirDPFCns.txt
20.06.2006 00:37 60.710 c.txt
20.06.2006 00:35 8.271 windows.txt
20.06.2006 00:33 101.048 system32.txt2.txt
19.06.2006 22:16 12.406.080 AVG7QT.DAT
13.06.2006 22:16 26 13.06.2006221627.txt
12.06.2006 11:10 7.454 caisslog.txt
09.06.2006 15:17 125 09.06.2006151739.txt
01.06.2006 12:53 47.564 NTDETECT.COM
01.06.2006 12:53 251.184 ntldr
27.05.2006 23:47 2 MSDOS.SYS
30.04.2006 23:19 1.119 INSTALL.LOG
24.04.2006 00:49 7.232 bootex.log
29.03.2006 18:26 3.080 CDBIDXL.DAT
29.03.2006 18:26 2.056 TDBIDXL.DAT
29.03.2006 17:46 32 STFC.IDX
Seitenanfang Seitenende
23.06.2006, 12:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15

Zitat

Sabina postete

Zitat

Zone Maps. Wenn ich den Verzeichnisbaum aufmache sind da nur so Ordner mit Sexadresssen.
die kannst du alle loeschen ;)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: