Home » Spyware & Browser Hijacker Support Forum » WinAntivirus Pro 2006 Trojaner erzeugt regelmässig Popup Fenster » Themenansicht

WinAntivirus Pro 2006 Trojaner erzeugt regelmässig Popup Fenster

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.07.2006, 22:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 ilovehouse

1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {93384f80-d131-497c-92d4-5f0e69be5b40} - C:\WINDOWS\system32\mfcno1.dll

O20 - AppInit_DLLs: c:\windows\system32\efecaax.dll
O20 - Winlogon Notify: mfcno1 - C:\WINDOWS\SYSTEM32\mfcno1.dll
PC neustarten

2.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

3.
loesche das backup vom avenger unter C:\Avenger\backup

-------

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.07.2006, 22:18
thorsti42
...neu hier

Beiträge: 10
#47 Hi Sabina,

klappte bisher ja ganz prima. Bin mir aber jetzt etwas unsicher. Ich finde zwar die Dateien zum Löschen, aber (s.u.):

C:\Dokumente und Einstellungen\Thorsti\Eigene Dateien\
09.07.2006 11:38 <DIR> ??crosoft.NET

=> konnte ich erst nicht löschen, xp-Fehlermeldung "javaw.exe kann nicht gelöscht werden, der Zugriff wurde verweigert"..., javaw.exe ist aber nach smitfraud und ewido weg, verzeichnis habe ich jetzt gelöscht

Verzeichnis von c:\WINDOWS\??crosoft
28.06.2006 17:13 495.616 d?xplore.exe
1 Datei(en) 495.616 Bytes

=> konnte ich nicht löschen, xp-Fehlermeldung "dexplore.exe kann nicht gelöscht werden, der Zugriff wurde verweigert"...Datei mit der urspr. Grösse und Datum ist jetzt (nach smtifraud und ewido) aber weg, hat nur noch 0kb


Verzeichnis von c:\WINDOWS\Prefetch
09.07.2006 18:50 21.570 D?XPLORE.EXE-0F07FEBF.pf
1 Datei(en) 21.570 Bytes

=> gelöscht!

09.07.2006 18:50 16.792 JAVAW.EXE-288E2ADE.pf
1 Datei(en) 16.792 Bytes

=> gelöscht!

hier die logs:

smitfraud

SmitFraudFix v2.69

Scan done at 19:15:38,87, 10.07.2006
Run from C:\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

ewido

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:41:18 10.07.2006

+ Scan-Ergebnis:



C:\avenger\backup.zip/avenger/chkntfs.dll -> Adware.PurityScan : Ignoriert.
(ist ja wohl kein problem, backup zu löschen, oder?)
::Berichtende

hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:04:04, on 10.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Samsung\Samsung Command Center\PIC_UI.exe
C:\PROGRA~1\Samsung\SA8644~1\SAMSUN~1.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Thorsti\Eigene Dateien\security\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Programme\ZoomText 8.1\AHOI\ah_ie_bho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C096FB3E-5730-42B7-9C94-E8AC823AE2BA} - C:\WINDOWS\system32\vtutr.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SamsungPIC] C:\Programme\Samsung\Samsung Command Center\PIC_UI.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: chkntfs.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)


Ich hoffe, ich bin den Sch...dreck jetzt endlich los (dank deiner super Unterstützung)

Gruß
Thorsten
Seitenanfang Seitenende
10.07.2006, 22:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 thorsti42

1.
loesche mit dem Avenger:

Zitat

Files to delete:
C:\WINDOWS\system32\chkntfs.dll
2.
fixe mit dem hijackThis:

Zitat

O2 - BHO: (no name) - {C096FB3E-5730-42B7-9C94-E8AC823AE2BA} - C:\WINDOWS\system32\vtutr.dll (file missing)
O20 - AppInit_DLLs: chkntfs.dll
PC neustarten

**
3.
loesche das backup vom Avenger

**
4.
versuche die zwei Dateien vom Purityscan im abgesicherten Modus zu loeschen

C:\Dokumente und Einstellungen\Thorsti\Eigene Dateien\??crosoft.NET
Verzeichnis von c:\WINDOWS\??crosoft

5.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.07.2006, 23:36
thorsti42
...neu hier

Beiträge: 10
#49 Heul, immer noch nicht...

habe soweit alles erledigt.

fsecure:
Scanning Report
Monday, July 10, 2006 23:02:33 - 23:31:43

Computer name: NOTEBOOK
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
Result: 1 malware found
Tracking Cookie (spyware)

* System (Disinfected)

Statistics
Scanned:

* Files: 19841
* System: 4275
* Not scanned: 3

Actions:

* Disinfected: 1
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

* F-Secure AVP: 6.0.171, 2006-07-10
* F-Secure Libra: 2.4.1, 2006-07-08
* F-Secure Orion: 1.2.37, 2006-07-10
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Pegasus: 1.19.0, 2006-06-05
* F-Secure Draco: 1.0.35, 0259-24-212

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics


Gruß
Thorsten
Seitenanfang Seitenende
10.07.2006, 23:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 thorsti42

Poste das neue Log vom HijackThis ;)
+
die 4 logs von datfindbat (2 Monate reichen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2006, 00:06
thorsti42
...neu hier

Beiträge: 10
#51 Hi!

dein smilie lässt mich ja irgendwie hoffen ;)

Logfile of HijackThis v1.99.1
Scan saved at 23:59:00, on 10.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Command Center\PIC_UI.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Samsung\SA8644~1\SAMSUN~1.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Thorsti\Eigene Dateien\security\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Programme\ZoomText 8.1\AHOI\ah_ie_bho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SamsungPIC] C:\Programme\Samsung\Samsung Command Center\PIC_UI.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

_______________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\WINDOWS\system32

10.07.2006 22:50 1.158 wpa.dbl
10.07.2006 22:50 1.543 Thorsti_KBD.ini
10.07.2006 18:17 2 wnsintcc.exe
08.07.2006 11:47 1.543 Mareike_KBD.ini
07.07.2006 00:15 34.308 BASSMOD.dll
02.07.2006 20:50 153.176 FNTCACHE.DAT
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
17.06.2006 13:54 100 LuResult.txt
09.06.2006 03:19 5.967.776 MRT.exe
05.06.2006 19:18 1.543 Maritta_KBD.ini
05.06.2006 11:08 4.480 esnecil.ind
05.06.2006 11:04 1.120 tts.log
05.06.2006 11:04 0 rotest.txt
03.06.2006 00:25 176.167 rmoc3260.dll
03.06.2006 00:25 5.632 pndx5032.dll
03.06.2006 00:25 6.656 pndx5016.dll
03.06.2006 00:25 278.528 pncrt.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
27.05.2006 22:32 68.792 net-perfmon.msc
25.05.2006 21:48 16.832 amcompat.tlb
25.05.2006 21:48 23.392 nscompat.tlb
25.05.2006 21:48 2.272 w95inf16.dll
25.05.2006 21:48 4.608 w95inf32.dll
25.05.2006 21:33 7.006 jupdate-1.5.0_06-b05.log
25.05.2006 19:54 41.536 perfc009.dat
25.05.2006 19:54 314.622 perfh009.dat
25.05.2006 19:54 319.852 perfh007.dat
25.05.2006 19:54 49.762 perfc007.dat
25.05.2006 16:22 1.612 PerfStringBackup.TMP
25.05.2006 12:36 4.480 esnecil.nlp
21.05.2006 16:41 142 gdichain.ini
21.05.2006 01:19 723.568 PerfStringBackup.INI
21.05.2006 00:35 1.273 $winnt$.inf
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll

_________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\DOKUME~1\Thorsti\LOKALE~1\Temp

10.07.2006 23:53 0 JETE970.tmp
10.07.2006 23:00 824 jusched.log
10.07.2006 22:50 0 JET732C.tmp
10.07.2006 22:50 320 PICLog.log
10.07.2006 22:46 16.384 ~DFC11F.tmp
5 Datei(en) 17.528 Bytes
0 Verzeichnis(se), 60.952.678.400 Bytes frei

_____________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\WINDOWS

10.07.2006 23:00 67.190 setupapi.log
10.07.2006 22:50 0 0.log
10.07.2006 22:50 1.910.394 WindowsUpdate.log
10.07.2006 22:50 50 wiaservc.log
10.07.2006 22:50 159 wiadebug.log
10.07.2006 22:50 2.048 bootstat.dat
10.07.2006 22:49 32.622 SchedLgU.Txt
10.07.2006 20:49 431.990 ntbtlog.txt
10.07.2006 19:15 217.856 setupact.log
08.07.2006 13:03 16.020 WINNT32.LOG
08.07.2006 13:02 254 UPGRADE.TXT
08.07.2006 13:02 37.175 wsdu.log
08.07.2006 13:02 178 DHCPUPG.LOG
07.07.2006 21:36 486 win.ini
07.07.2006 21:09 2.880.054 ACD Hintergrund.bmp
07.07.2006 00:34 49.534 wmsetup.log
30.06.2006 23:11 6.377 WgaNotify.log
30.06.2006 20:52 4.161 ODBCINST.INI
19.06.2006 22:01 24 hpcfglor.upi
19.06.2006 21:53 116 NeroDigital.ini
17.06.2006 14:25 20.605 LUINSTALL.LOG
15.06.2006 09:57 1.830 spupdsvc.log
15.06.2006 09:55 59.999 iis6.log
15.06.2006 09:55 142.986 comsetup.log
15.06.2006 09:55 87.917 ntdtcsetup.log
15.06.2006 09:55 162.673 tsoc.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\

11.07.2006 00:02 0 sys.txt
11.07.2006 00:02 8.396 system.txt
11.07.2006 00:01 489 systemtemp.txt
11.07.2006 00:00 104.714 system32.txt
10.07.2006 22:50 1.071.894.528 hiberfil.sys
10.07.2006 22:50 1.610.612.736 pagefile.sys
10.07.2006 22:38 1.342 avenger.txt
10.07.2006 19:16 846 rapport.txt
10.07.2006 18:46 5.598 find.txt
10.07.2006 18:45 55.395 files.txt
10.07.2006 08:37 398 DirDPF.txt
10.07.2006 08:37 2 DirDPFCns.txt
08.07.2006 18:26 0 23990098.$$$
08.07.2006 17:02 267 boot.ini
05.06.2006 00:16 2 MSDOS.SYS
22.05.2006 00:28 184 BOOT.BAK
30.08.2005 10:33 0 IO.SYS
30.08.2005 10:33 0 AUTOEXEC.BAT
30.08.2005 10:33 0 CONFIG.SYS
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 262.448 cmldr
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
23 Datei(en) 2.683.251.045 Bytes
0 Verzeichnis(se), 60.952.678.400 Bytes frei

Gruß
Thorsten
Seitenanfang Seitenende
11.07.2006, 07:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 thorsti42

1.
loesche mit dem Avenger:

Zitat

Files to delete:
C:\WINDOWS\system32\wnsintcc.exe
gruene Ampel, PC neustarten

2.
ewido und poste den scanreport (du hast wohl schon gescannt...aber ich moechte gern den scanreport sehen...., jedenfalls habe ich nachgeschaut und sehe ihn nirgens.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2006, 07:54
thorsti42
...neu hier

Beiträge: 10
#53 Uuups,

ewida report hab ich wohl tatsächlich nicht geposted:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 07:51:17 11.07.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Thorsti\Cookies\thorsti@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Thorsti\Cookies\thorsti@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert.
C:\Dokumente und Einstellungen\Thorsti\Cookies\thorsti@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.


::Berichtende

Danke und Gruß
Thorsten
Seitenanfang Seitenende
11.07.2006, 08:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 thorsti42

es muesste alles wieder o.k. sein, obwohl ich verwundert bin, dass sich die wnsintcc.exe vom 2.7. auf den 10.7 neu erstellt hat.
Mache also bitte einen Onlinescan mit panda und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2006, 16:54
ilovehouse
...neu hier

Beiträge: 4
#55 1. erledigt
2. erledigt - nichts gefunden
3. schon gemacht ;)
4. :

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

03.07.2006 19:04 <DIR> .
03.07.2006 19:04 <DIR> ..
03.07.2006 19:04 <DIR> 1031
03.07.2006 19:04 <DIR> 1033
11.07.2003 02:15 1.292.872 MSONSEXT.DLL
14.07.2003 22:52 35.896 MSOSV.DLL
11.07.2003 02:25 80.448 PKMWS.DLL
3 Datei(en) 1.409.216 Bytes
4 Verzeichnis(se), 6.153.588.736 Bytes frei


Verzeichnis von C:\Programme\Gemeinsame Dateien

11.06.2006 01:16 <DIR> .
11.06.2006 01:16 <DIR> ..
25.02.2006 02:19 <DIR> Acronis
05.06.2006 16:04 <DIR> Adobe
19.06.2006 13:38 <DIR> Ahead
20.03.2006 22:10 <DIR> DESIGNER
24.02.2006 21:37 <DIR> Dienste
15.06.2006 13:31 <DIR> InstallShield
18.03.2006 19:15 <DIR> Java
08.07.2006 16:32 <DIR> Microsoft Shared
24.02.2006 21:37 <DIR> MSSoap
25.02.2006 02:49 <DIR> Nero
11.06.2006 01:16 <DIR> Nokia
24.02.2006 21:30 <DIR> ODBC
11.06.2006 01:16 <DIR> PCSuite
24.02.2006 21:30 <DIR> SpeechEngines
03.07.2006 18:45 <DIR> Symantec Shared
20.05.2006 13:46 <DIR> System
13.03.2006 17:41 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 6.153.584.640 Bytes frei

-------

heißt das, jetzt bin ich dén nervenden trojaner restlos los?


@ Sabina
danke schonmal an die super shnelle hilfe von dir! 1000 danke ;)
Seitenanfang Seitenende
11.07.2006, 18:51
thorsti42
...neu hier

Beiträge: 10
#56 Panda-Log:

Incident Status Location
Adware:adware/ncase
Not disinfected
Windows Registry

Spyware:Cookie/Falkag
Not disinfected
C:\Dokumente und Einstellungen\Thorsti\Anwendungsdaten\Mozilla\Firefox\Profiles\7poq3nzs.thorsten\cookies.txt[.as-eu.falkag.net/]

Adware:Adware/IST.ISTBar
Not disinfected
C:\Dokumente und Einstellungen\Thorsti\Anwendungsdaten\Thunderbird\Profiles\r7ycldb0.thorsten\Mail\pop.gmx.net\Sent[cr-tud16.zip][start.exe]

habe mail in thunderbird gelöscht, sheint aber irgendwo noch im Porifil zu sein. kein Problem, oder?

Potentially unwanted tool:Application/Processor
Not disinfected
C:\Programme\SmitfraudFix\Process.exe

Gruß
Thorsten
Seitenanfang Seitenende
11.07.2006, 21:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 **
so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. Das ist bei allen Mozilla/Netscape-Varianten gleich.

**
ansonsten wurde nur noch ein Cookie gefunden, kein Grund zur Sorge ;)

**
poste bitte das erste Log vom datfindbat noch einmal (Windows\System32)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2006, 21:56
thorsti42
...neu hier

Beiträge: 10
#58 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\WINDOWS\system32

11.07.2006 21:45 1.543 Thorsti_KBD.ini
11.07.2006 21:45 1.158 wpa.dbl
11.07.2006 18:30 2.550 Uninstall.ico
11.07.2006 18:30 1.406 Help.ico
11.07.2006 18:30 30.590 pavas.ico
11.07.2006 17:07 0 asfiles.txt
08.07.2006 11:47 1.543 Mareike_KBD.ini
07.07.2006 00:15 34.308 BASSMOD.dll
02.07.2006 20:50 153.176 FNTCACHE.DAT
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
17.06.2006 13:54 100 LuResult.txt



Hat das Komrimieren irgendeinen Einfluß auf das Erscheinungsbild im Posteingang?

MfG
Thorsten
Seitenanfang Seitenende
11.07.2006, 22:00
thorsti42
...neu hier

Beiträge: 10
#59 ...hab das mit dem komprimieren eben selbst nachgelesen...
Seitenanfang Seitenende
11.07.2006, 22:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60 thorsti42

es ist alles wieder in Ordnung mit deinem Rechner ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123456