Home » Viren, Trojaner & Malware Forum » Virusname: Trojan.Dropper -- "trelew.exe" -- Zugriff verweigert » Themenansicht

Virusname: Trojan.Dropper -- "trelew.exe" -- Zugriff verweigert
#0
27.06.2006, 09:25
back
Member

Beiträge: 19
#1 Hallo zusammen!

Ich werde bald noch bresig. Mein Scanner bringt jeden Morgen folgende Meldungen:

*******************************************************
Prüfungstyp: Echtzeitschutz Prüfung
Ereignis: Virus festgestellt!
Virusname: Trojan.Dropper
Datei: C:\TEMP\Temporary Internet Files\Content.IE5\ODQRWPYN\Trelew[1].exe
Ablageort: C:\TEMP\Temporary Internet Files\Content.IE5\ODQRWPYN
Computer: MLGGTTkl
Benutzer: Benutzer0613
Durchgeführte Aktion: Säubern fehlgeschlagen : Isolierung fehlgeschlagen : Zugriff verweigert
Gefundenes Datum: Tue Jun 27 08:56:31 2006


*******************************************************

Prüfungstyp: Echtzeitschutz Prüfung
Ereignis: Virus festgestellt!
Virusname: Trojan.Dropper
Datei: C:\Trelew.exe
Ablageort: Isolierung
Computer: MLGGTTkl
Benutzer: Benutzer0613
Durchgeführte Aktion: Säubern fehlgeschlagen : Isolierung erfolgreich : Zugriff verweigert
Gefundenes Datum: Tue Jun 27 08:56:31 2006

*******************************************************

Ich bekommen über den gesamten Tag verteilt immer wieder häßliche Werbe-Popupps (z.B. "Advertisement By OuterInfo"), die mittlerweile ziemlich nerven. Das Forum und auch das Internet habe ich bereits nach einer Säuberungsalternative abgesucht.

Ich habe den Rechner mit meinem Scanner (Symantec Antivirus) und dem aktuellen Stinger(.exe) sowie mit Addaware (im abgesicherten Modus) geprüft und auch gesäubert ... bis auf diese "Trelew.exe" ... das Teil bekomme ich nicht weg.

Die Startseite des IE habe ich bereits auch schon mehrmals geändert ... doch bei jedem Neustart habe ich wieder "http://www.findthewebsiteyouneed.com" vor der Nase.

Eine letzte Möglichkeit sah ich nun darin, das Teil "Hijackthis" mal laufen zu lassen. Hier poste ich Euch den Logfile (hijackthis habe ich im abgesicherten Mode laufen lassen), da ich selbst nicht weis ob ich was oder was ich davon löschen soll:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\programme\citrix\ica-client\ssonsvr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Benutzer0613\Desktop\hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = intranet.driescher.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = intranet.driescher.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.*;*.driescheri.de;intranet.*;<local>
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdb_2.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmb_2.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=intranet.driescher.de
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} -
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/promocache/3633352D2D2D.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03af4897647e70611105/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110875529210
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-ww/dew/games5.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = driescher-service.local
O17 - HKLM\Software\..\Telephony: DomainName = driescher-service.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC227A2-72CB-43F2-A207-E79D9BFCA3D9}: Domain = driescher-service.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = driescher-service.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = driescher-service.local
O20 - AppInit_DLLs: C:\WINDOWS\System32\rundll32.dll
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\q2nulc591f.dll
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\mwsystem.dll
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\mwsystem.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\command.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

Ich hoffe mir kann jemand weiterhelfen

Vorab schon mal vielen Dank

Back
Dieser Beitrag wurde am 27.06.2006 um 15:53 Uhr von back editiert.
Seitenanfang Seitenende
27.06.2006, 16:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 back

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
Look2Me-Destroyer V1.0.5 anwenden
http://virus-protect.org/l2mfix.html

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2006, 17:59
back
Member

Themenstarter

Beiträge: 19
#3 Hi Sabina!

Vielen Dank. Soweit ich das einschätzen kann, funktioniert nun wieder alles.

Vielen vielen Dank

Back
Seitenanfang Seitenende
27.06.2006, 18:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 also, was ich sehe...der Rechner ist bis an die Halskrause verseucht..............
du solltest alles abarbeiten, aber es ist dein Rechner...du musst es wissen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2006, 18:25
back
Member

Themenstarter

Beiträge: 19
#5 Ja, nicht falsch verstehen ... ich habe alles abgearbeitet ... und nun scheint wieder alles super zu laufen.
Ich bin sogar alle Punkte mehrmals durchlaufen.

Vielen Dank für Deine Hilfe

;)
Seitenanfang Seitenende
27.06.2006, 18:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 du hast mich nicht richtig verstanden, die Viren sind alle noch drauf, (ausser denen die du mit Look2Me-Destroyer V1.0.5 entfernt hast (Look2Me)
alles andere sehe ich in den logs von datfindbat ...also poste sie bitte ;) damit ich sie auswerten kann.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2006, 08:33
back
Member

Themenstarter

Beiträge: 19
#7 Hi Sabina!

Ich hatte Dich schon richtig verstanden ... doch will ich mir gerne richtig helfen lassen. Ich hatte gestern unterdessen bereits folgende Methode durchgeführt (habe ich auch hier im Forum gefunden):

(1) eScan (Hersteller) - bei unbekannten Browser Hijackern
» durchlesen + abarbeiten
(2) Anti Spyware Tool Ad-aware (Hersteller)
» downloaden + erst (Check for Updates now!) aktualisieren + dann ausführen!
(3) weiteres Anti Spyware Tool: Spybot-Search & Destroy (Hersteller)
» downloaden + erst (unter Online -> Update ) aktualisieren + dann ausführen
(4) CWShredder (Hersteller)
»downloaden + ausführen
(5) Windows aktualisieren!

Wenn nichts mehr hilft?
falls das Problem nun immer noch besteht...
HijackThis! » downloaden + Logfile erstellen
dieser kann hier im Forum mit den anderen Usern gemeinsam oder selbst aus-
gewertet und negative Einträge anschliessend gefixt (korrigiert) werden!
Das Programm Hijackthis erstellt eine Auflistung aller Dateien die beim System-
start mit geladen werden. Somit sollte in den meisten Fällen auch die
schädlichen Dateien entdeckt und identifiziert werden können.


Aus diesem Grund schrieb ich auch "Soweit ich das einschätzen kann, funktioniert nun wieder alles."!

***********************************

Aber nun die Logfiles von DatFind schließlich hast Du Dir bereits so viel Mühe um mich gemacht ... das will ich nicht einfach so abtun. Schau mal, vielleicht kannst Du ja was mit den Logfiles anfangen.

"C:\WINDOWS\system32"

27.06.06 10:11 0 PortMappingData.txt
27.06.06 08:31 100 mapisvc.inf
27.06.06 08:31 16.124 SMS_407.HLP
27.06.06 08:31 16.121 FAX_407.HLP
26.06.06 08:01 2 wnscpcc.exe
26.06.06 08:01 81.920 rundll32.dll
26.06.06 07:56 2.206 wpa.dbl
22.06.06 15:41 235.294 MUHTML.DLL
22.06.06 15:10 5 bfbdca_s.ocx
22.06.06 15:10 5 bfedabdb_s.dll
22.06.06 14:55 235.138 JHED500.DLL
22.06.06 14:12 234.295 JKST500.DLL
09.06.06 03:19 5.967.776 MRT.exe
06.06.06 16:49 139.264 ofxe.dll
26.05.06 22:19 163.840 JGDW400.DLL
26.05.06 15:49 1.339.904 SHDOCVW.DLL
19.05.06 16:08 2.702.848 MSHTML.DLL
18.05.06 08:13 458.752 jscript.dll
14.05.06 11:26 346.624 ipsecsnp.dll
14.05.06 11:26 258.560 oakley.dll
14.05.06 11:26 169.984 rasmans.dll
14.05.06 11:26 368.128 ipsmsnap.dll
14.05.06 11:26 161.280 ipsecsvc.dll
14.05.06 11:26 29.184 winipsec.dll
14.05.06 11:26 98.816 polstore.dll
08.05.06 12:30 463.360 URLMON.DLL
29.04.06 06:07 5.533.696 wmp.dll
28.04.06 15:08 582.144 WININET.DLL
28.04.06 10:58 12.288 JSPROXY.DLL
28.04.06 10:57 351.744 DXTMSFT.DLL
06.04.06 16:15 27.648 JGPL400.DLL

"C:\DOKUME~1\Username\LOKALE~1\Temp"

28.06.06 08:59 116 MSI11f89.LOG
28.06.06 08:59 765 Logonscript.log

"C:\WINDOWS"

28.06.06 08:59 0 0.log
28.06.06 08:59 1.604.281 WindowsUpdate.log
28.06.06 08:58 2.048 bootstat.dat
28.06.06 08:57 31.902 SchedLgU.Txt
27.06.06 16:29 778 win.ini
27.06.06 15:52 1.096.406 ntbtlog.txt
27.06.06 15:20 246 system.ini
27.06.06 11:56 105.807 setupapi.log
27.06.06 08:30 0 keyboard1.dat
22.06.06 13:00 10 popcinfo.dat
21.06.06 09:18 867.398 iis6.log
21.06.06 09:18 265.328 comsetup.log
21.06.06 09:18 161.225 ntdtcsetup.log
21.06.06 09:18 358.043 tsoc.log
21.06.06 09:18 1.374 imsins.log
21.06.06 09:18 38.541 tabletoc.log
21.06.06 09:18 10.754 KB917344.log
21.06.06 09:18 134.533 netfxocm.log
21.06.06 09:18 402.403 ocgen.log
21.06.06 09:18 26.816 ocmsn.log
21.06.06 09:18 37.654 msgsocm.log
21.06.06 09:18 759.600 FaxSetup.log
21.06.06 09:18 242.148 msmqinst.log
16.06.06 15:49 4.118 spupdsvc.log
16.06.06 15:48 68.369 wmsetup.log
16.06.06 14:50 1.374 imsins.BAK
16.06.06 14:50 8.347 KB917734.log
16.06.06 14:50 33.423 updspapi.log
14.06.06 11:31 24.525 KB914798.log
14.06.06 11:31 15.878 KB918439-IE6SP1-20060530.145346.log
14.06.06 11:30 16.358 KB916281-IE6SP1-20060526.162249.log
14.06.06 11:30 20.907 KB917953.log
14.06.06 11:29 20.678 KB911280.log
14.06.06 11:28 13.489 KB914389.log
02.06.06 16:12 50 wiaservc.log
02.06.06 16:12 215 wiadebug.log
31.05.06 11:03 1.241 LMAAB2DD.ini
31.05.06 10:59 180 hpbafd.ini
29.05.06 08:03 14.459 KB913580.log
03.05.06 12:00 14.962 KB911565.log
03.05.06 09:53 13.214 KB908531.log
18.04.06 08:05 6.476 KB912812-IE6SP1-20060322.182418.log
18.04.06 08:04 24.624 MDAC28-KB911562-x86-DEU.log
18.04.06 08:03 5.677 KB911567-OE6SP1-20060316.165634.log

"C:\"

28.06.06 09:03 0 sys.txt
28.06.06 09:02 14.087 system.txt
28.06.06 09:02 358 systemtemp.txt
28.06.06 09:00 105.136 system32.txt
28.06.06 08:58 536.870.912 pagefile.sys
27.06.06 15:20 194 boot.ini
27.06.06 13:50 0 23990098.$$$
27.06.06 08:30 57.344 kybrdb_2.exe
12.04.06 16:37 934 sicherung.cmd

Vielen Dank
Gruß
Back
NACHTRAG: Du hattest Recht ... ich bekomme immer noch die Werbe-Poppups;););););););)
Dieser Beitrag wurde am 28.06.2006 um 09:00 Uhr von back editiert.
Seitenanfang Seitenende
28.06.2006, 10:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 das sind alles Viren, aber ich will wissen, welche (und welche Virenscanner sie erkennen)
mache bitte folgendes:

1.
Einzelne Dateien scannen
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\wnscpcc.exe
C:\WINDOWS\system32\rundll32.dll
C:\WINDOWS\system32\mwsystem.dll
C:\WINDOWS\system32\MUHTML.DLL
C:\WINDOWS\system32\bfbdca_s.ocx
C:\WINDOWS\system32\bfedabdb_s.dll
C:\WINDOWS\system32\JHED500.DLL
C:\WINDOWS\system32\JKST500.DLL
C:\WINDOWS\system32\ofxe.dll
C:\WINDOWS\keyboard1.dat
C:\kybrdb_2.exe

poste alles scanreporte
und loesche bitte noch nichts, ich erstelle dann einen reinigungsweg

---------------------------------------------------------------
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Network Monitor" >>files.txt
dir "C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ" >>files.txt
dir "C:\Dokumente und Einstellungen\Benutzer0613\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\Benutzer0613\Anwendungsdaten >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
3.
HijackThis (StartupListe)
erstelle ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)

4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2006, 10:22
back
Member

Themenstarter

Beiträge: 19
#9 Hi Sabina!

Ich versuche nun schon seit drei Stunden auf "virustotal.com" die Dateien prüfen zu lassen. Entweder hängt sich die Seite auf (Time out), oder ich bekomme beim Aufruf der Seite keinen Inhalt angezeigt (nur kryptische Zeichen), oder die Suche dauert für die erste datei ca. 10 min bis sich die Page weghängt. --> Alle anderen Webseiten kann ich problemlos aufrufen.

Und nun?

Ich werde es heute Nachmittag noch einmal probieren.

Viele Grüße

Back

PS.: Wie kommt´s eigentlich, dass Du Dich mit diesem Thema so intensiv beschäftigst? "Berufliche Vorbelastung"?
Seitenanfang Seitenende
29.06.2006, 11:17
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 du kannst es auch hier versuchen:

virusscan.jotti.org
http://virusscan.jotti.org/de/

sandbox.norman
http://sandbox.norman.no/live_4.html

wenn ich alle Daten habe, { Punkt 1,2,3,4) beginnt die Reinigung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2006, 14:21
back
Member

Themenstarter

Beiträge: 19
#11 Hi!

OK, alles erstellt .... na dann mal viel Spaß beim durchforsten!
Sag mal, wie kann man sich für so ein Thema interesieren? Oder bekommst Du Geld dafür ;) ?

Ich kann bis hier her nur noch mal DANKE sagen

Und los geht´s
*******************************************

(Punkt 1) Einzelne Dateien scannen

Datei: wnscpcc.exe
Auslastung: 0% 100%

Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der

Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
****************************************
Datei: rundll32.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher

nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/PurityScan.EN.1 adware gefunden
ArcaVir Adware.Bho.Purityscan.Jha gefunden
Avast Win32:Ndrv gefunden
AVG Antivirus Generic.OFX gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.PurityScan.EN gefunden
Dr.Web Adware.ClickSpring gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/PurityScan gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.PurityScan.en gefunden
NOD32 Win32/Adware.PurityScan application gefunden
Norman Virus Control W32/PurityScan.YM gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 AdWare.Win32.PurityScan.en gefunden
****************************************
C:\WINDOWS\system32\mwsystem.dll

hatte diese bereits gelöscht

****************************************
Datei: MUHTML.DLL
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/Look2Me.ab adware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Look2me gefunden
BitDefender Adware.Dinky.A.Trojan gefunden
ClamAV Adware.Lookme-26 gefunden
Dr.Web Adware.Look2me gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Look2me gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Look2Me.ab gefunden
NOD32 Win32/Adware.Look2Me application gefunden
Norman Virus Control W32/Look2Me.DJ gefunden
UNA Keine Viren gefunden
VirusBuster Trojan.PolyAgent.A gefunden
VBA32 Keine Viren gefunden

****************************************
Datei: bfbdca_s.ocx
Auslastung: 0% 100%

Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

****************************************
Datei: bfedabdb_s.dll
Auslastung: 0% 100%

Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der

Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

****************************************
Datei: JHED500.DLL
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/Look2Me.ab adware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Look2me gefunden
BitDefender Adware.Dinky.A.Trojan gefunden
ClamAV Adware.Lookme-26 gefunden
Dr.Web Adware.Look2me gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Look2me gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Look2Me.ab gefunden
NOD32 Win32/Adware.Look2Me application gefunden
Norman Virus Control W32/Look2Me.DJ gefunden
UNA Keine Viren gefunden
VirusBuster Trojan.PolyAgent.A gefunden
VBA32 Keine Viren gefunden

****************************************
Datei: JKST500.DLL
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/Look2Me.ab adware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Look2me gefunden
BitDefender Adware.Dinky.A.Trojan gefunden
ClamAV Adware.Lookme-26 gefunden
Dr.Web Adware.Look2me gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Look2me gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Look2Me.ab gefunden
NOD32 Win32/Adware.Look2Me application gefunden
Norman Virus Control W32/Look2Me.DJ gefunden
UNA Keine Viren gefunden
VirusBuster Trojan.PolyAgent.A gefunden
VBA32 Keine Viren gefunden

****************************************
C:\WINDOWS\system32\ofxe.dll

hatte diese bereits gelöscht

****************************************
C:\WINDOWS\keyboard1.dat

hatte diese bereits gelöscht

****************************************
Datei: kybrdb_2.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher

nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Heuristic/VB.Downloader gefunden (mögliche Variante)
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic.OWV gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.DollarRevenue gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/ADLOAD.HD!tr gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.VB.17 gefunden (mögliche Variante)

****************************************

(Punkt 2)

Datentr„ger in Laufwerk C: ist SYSTEM
Volumesaeriennummer: 7494-C4F0

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0

Verzeichnis von C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0

Verzeichnis von C:\Dokumente und Einstellungen\Benutzer0613\Lokale Einstellungen\Temp

28.06.06 08:19 <DIR> .
28.06.06 08:19 <DIR> ..
21.12.05 11:57 <DIR> PDFCreator
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 10.977.370.112 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0

Verzeichnis von C:\WINDOWS\Temp

29.06.06 12:29 <DIR> .
29.06.06 12:29 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 10.977.366.016 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0

Verzeichnis von C:\Temp

29.06.06 14:02 <DIR> .
29.06.06 14:02 <DIR> ..
29.06.06 07:58 71.680 !update.exe
29.06.06 08:06 16.384 83.tmp
23.11.04 10:59 6.865 driescher-service.PRF
29.06.06 07:59 <DIR> c.programme.Lotus.Notes.Data
29.06.06 08:52 28 ExchangePerflog_8484fa312d316648b8eb80ba.dat
28.06.06 13:27 <DIR> hsperfdata_Benutzer0613
28.06.06 13:27 416 java_install_reg.log
29.06.06 08:51 2.295 Logonscript.log
29.06.06 07:56 116 MSIc63e.LOG
29.06.06 08:51 116 MSIc95a.LOG
29.06.06 14:01 116 MSIdf25.LOG
29.06.06 13:18 116 MSIe34b.LOG
29.06.06 08:52 <DIR> Orte
28.06.06 12:28 <DIR> VBE
29.06.06 10:13 <DIR> VPMECTMP
29.06.06 13:20 72.748 _iu14D2N.tmp
29.06.06 13:34 16.384 ~DF547B.tmp
29.06.06 08:06 32.768 ~DF8C13.tmp
29.06.06 08:06 32.768 ~DF98EF.tmp
29.06.06 08:44 16.384 ~DF9BEE.tmp
29.06.06 08:04 16.384 ~DF9EEE.tmp
29.06.06 08:05 32.768 ~DFB2D0.tmp
29.06.06 08:06 65.536 ~DFB639.tmp
18 Datei(en) 383.872 Bytes
7 Verzeichnis(se), 10.977.366.016 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0

Verzeichnis von C:\Programme

29.06.06 14:02 <DIR> .
29.06.06 14:02 <DIR> ..
23.05.05 10:16 <DIR> ACD Systems
06.04.05 11:33 <DIR> driescher-service
18.08.05 08:15 <DIR> Adobe
31.01.06 16:09 <DIR> Aspect Communications
05.07.04 14:23 <DIR> Citrix
27.06.06 12:49 <DIR> Common Files
27.06.06 11:08 <DIR> ComPlus Applications
29.06.06 12:36 <DIR> Gemeinsame Dateien
15.04.04 03:28 <DIR> IBM
03.08.05 09:03 <DIR> Internet Explorer
12.12.05 11:14 <DIR> Java
15.04.04 03:26 <DIR> Lotus
29.06.06 08:04 <DIR> Makromator
17.06.05 08:32 <DIR> mediaplayerclassic
15.04.04 02:42 <DIR> microsoft frontpage
12.11.04 14:51 <DIR> Microsoft Office
04.10.05 09:15 <DIR> Microsoft Works
12.11.04 14:54 <DIR> Microsoft.NET
26.06.06 09:43 <DIR> Movie Maker
15.04.04 02:42 <DIR> msn gaming zone
21.04.04 11:05 <DIR> NetMeeting
15.04.04 02:40 <DIR> Online-Dienste
12.11.04 14:58 <DIR> Outlook Connector fr Domino (deutsch)
18.04.06 08:02 <DIR> Outlook Express
08.02.05 10:15 <DIR> PDFCreator
02.06.06 09:43 <DIR> Remedy
15.04.04 03:26 <DIR> SAP
15.04.04 03:29 <DIR> Symantec
15.04.04 03:29 <DIR> Symantec_Client_Security
26.07.05 09:01 <DIR> Windows Media Components
26.06.06 09:11 <DIR> Windows Media Player
01.07.04 17:33 <DIR> Windows NT
29.06.04 12:39 <DIR> WinRAR
28.06.06 12:04 <DIR> xerox
28.06.06 11:43 <DIR> ?ymantec
0 Datei(en) 0 Bytes
37 Verzeichnis(se), 10.977.361.920 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0

Verzeichnis von C:\Programme\Gemeinsame Dateien

29.06.06 12:36 <DIR> .
29.06.06 12:36 <DIR> ..
28.06.06 11:02 <DIR> ACD Systems
06.04.05 11:17 <DIR> Adobe
12.11.04 14:53 <DIR> DESIGNER
15.04.04 02:39 <DIR> Dienste
11.08.04 14:00 <DIR> InstallShield
16.06.05 14:32 <DIR> Java
03.08.05 09:03 <DIR> Microsoft Shared
15.04.04 02:39 <DIR> MSSoap
12.07.04 10:13 <DIR> NSV
15.04.04 03:34 <DIR> ODBC
31.08.05 14:10 <DIR> Real
15.04.04 03:34 <DIR> SpeechEngines
15.04.04 03:29 <DIR> Symantec Shared
18.04.06 08:02 <DIR> System
23.12.04 11:54 <DIR> Ulead Systems
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 10.977.361.920 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0



Verzeichnis von C:\Programme\Gemeinsame Dateien

29.06.06 12:36 <DIR> .
29.06.06 12:36 <DIR> ..
28.06.06 11:02 <DIR> ACD Systems
06.04.05 11:17 <DIR> Adobe
12.11.04 14:53 <DIR> DESIGNER
15.04.04 02:39 <DIR> Dienste
11.08.04 14:00 <DIR> InstallShield
16.06.05 14:32 <DIR> Java
03.08.05 09:03 <DIR> Microsoft Shared
15.04.04 02:39 <DIR> MSSoap
12.07.04 10:13 <DIR> NSV
15.04.04 03:34 <DIR> ODBC
31.08.05 14:10 <DIR> Real
15.04.04 03:34 <DIR> SpeechEngines
15.04.04 03:29 <DIR> Symantec Shared
18.04.06 08:02 <DIR> System
23.12.04 11:54 <DIR> Ulead Systems
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 10.977.218.560 Bytes frei


(Punkt 3) HijackThis (StartupListe)


StartupList report, 29.06.06, 14:12:14
StartupList version: 1.52.2
Started from : D:\Privat\Toolz\hijack\hijackthis\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\programme\citrix\ica-client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\PPATCH~1\winlogon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\W?nSxS\s?ool32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Privat\Toolz\hijack\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Benutzer0613\Startmenü\Programme\Autostart]
*No files*

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
*No files*

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = userinit.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Client Access Check Version = "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
vptray = C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Ummr = "C:\WINDOWS\PPATCH~1\winlogon.exe" -vt yazr

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= C:\WINDOWS\System32\rundll32.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungs-Editor'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\WINDOWS\System32\poxgm.dll - {FB253378-F7C1-F96D-9E4A-F7BAD8491BE6}

--------------------------------------------------

Enumerating Task Scheduler jobs:

sicherung.job

--------------------------------------------------

Enumerating Download Program Files:

[DirectAnimation Java Classes]
OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

[Microsoft XML Parser for Java]
OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

[{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Malicious Software Removal Tool]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\WebCleaner.dll
CODEBASE = http://download.microsoft.com/download/b/d/b/bdb4e4ee-63b2-45ff-9d84-33205bf43143/WebCleaner.cab

[Java Plug-in]
InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

[Java Plug-in]
InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
CODEBASE = http://java.sun.com/products/plugin/1.3.1/jinstall-131_03-win.cab

[Java Plug-in]
InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab

[Java Plug-in]
InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

[Java Plug-in]
InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

[Java Plug-in 1.5.0_06]
InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\mswsock.dll
Protocol #2: C:\WINDOWS\system32\mswsock.dll
Protocol #3: C:\WINDOWS\system32\mswsock.dll
Protocol #4: C:\WINDOWS\system32\rsvpsp.dll
Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
Protocol #6: C:\WINDOWS\system32\mswsock.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\mswsock.dll
Protocol #10: C:\WINDOWS\system32\mswsock.dll
Protocol #11: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
aeaudio: system32\drivers\aeaudio.sys (manual start)
Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start)
Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
Broadcom 440x 10/100 Integrated Controller XP Driver: System32\DRIVERS\bcm4sbxp.sys (manual start)
Background Intelligent Transfer Service: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
SMS-Agent-Host: C:\WINDOWS\System32\CCM\CcmExec.exe (autostart)
CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start)
Ablagemappe: %SystemRoot%\system32\clipsrv.exe (manual start)
COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}

(manual start)
Crypkey License: crypserv.exe (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DefWatch: C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Laufwerktreiber: System32\DRIVERS\disk.sys (system)
Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start)
Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system)
Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Microsoft HID Class-Treiber: System32\DRIVERS\hidusb.sys (manual start)
i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
ialm: System32\DRIVERS\ialmnt5.sys (manual start)
Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system)
IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start)
IPv6-Firewalltreiber: System32\DRIVERS\Ip6Fw.sys (manual start)
IPv6-Internetverbindungsfirewall: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start)
IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system)
IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start)
PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (manual start)
Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
Maus-HID-Treiber: System32\DRIVERS\mouhid.sys (manual start)
Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start)
Windows Installer: C:\WINDOWS\System32\msiexec.exe /V (manual start)
Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
NAVAP: \??\C:\Programme\Symantec_Client_Security\Symantec AntiVirus\NAVAP.sys (manual start)
NAVAPEL: \??\C:\Programme\Symantec_Client_Security\Symantec AntiVirus\NAVAPEL.SYS (autostart)
NAVENG: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20060628.020\NAVENG.sys (manual start)
NAVEX15: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20060628.020\NAVEX15.sys (manual start)
RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (manual start)
Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (manual start)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (autostart)
Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NetworkX: \SystemRoot\system32\ckldrv.sys (system)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Symantec AntiVirus Client: C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe (autostart)
NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Novell UNC Path Filter: System32\NetWare\NwFilter.sys (system)
Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
Office Source Engine: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE" (manual start)
Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start)
PCI-Bus-Treiber: System32\DRIVERS\pci.sys (system)
PCIIde: System32\DRIVERS\pciide.sys (system)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
SMS Process Event Driver: \??\C:\WINDOWS\System32\CCM\prepdrv.sys (manual start)
Prozessortreiber: System32\DRIVERS\processr.sys (system)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start)
Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
PxHelp20: System32\DRIVERS\PxHelp20.sys (system)
Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start)
Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Treiber für Terminalserver-Geräteumleitung: System32\DRIVERS\rdpdr.sys (manual start)
Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start)
Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Smartcard-Hilfsprogramm: %SystemRoot%\System32\SCardSvr.exe (manual start)
Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
MAT Seri*hier nicht!* port driver: System32\DRIVERS\ser2pl.sys (manual start)
Serenum Filter Driver: System32\DRIVERS\serenum.sys (manual start)
Treiber für seriellen Anschluss: System32\DRIVERS\Seri*hier nicht!*.sys (system)
Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k

netsvcs (manual start)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
smwdm: system32\drivers\smwdm.sys (manual start)
Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (manual start)
Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe

/Processid:{B2D8BC2D-5744-476A-807F-66EBFC5118B4} (manual start)
SymEvent: \??\C:\Programme\Symantec\SYMEVENT.SYS (manual start)
Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start)
Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system)
Terminaldienste: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Telnet: C:\WINDOWS\System32\tlntsvr.exe (disabled)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows User Mode Driver Framework: C:\WINDOWS\System32\wdfmgr.exe (autostart)
Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start)
Upload-Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start)
Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: System32\DRIVERS\usbehci.sys (manual start)
Microsoft USB-Standardhubtreiber: System32\DRIVERS\usbhub.sys (manual start)
USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start)
Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Portable Media Seri*hier nicht!* Number Service: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Treibererweiterungen für Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\svchost.exe -k netsvcs

(manual start)
WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
xinstall: \??\C:\WINDOWS\System32\drivers\xinstall.sys (autostart)
Intel(R) Graphics Platform (SoftBIOS) Driver: system32\drivers\ialmsbw.sys (manual start)
Intel(R) Graphics Chipset (KCH) Driver: system32\drivers\ialmkchw.sys (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Temp\_iu14D2N.tmp


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 30.867 bytes
Report generated in 0,266 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


(Punkt 4) echo.zip

10)DPF????
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 7494-C4F0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.97 18:52 697 DirectAnimation Java Classes.osd
20.01.00 15:25 1.162 Microsoft XML Parser for Java.osd
09.10.03 11:32 144 QTPlugin.inf
03.06.04 10:04 524.445 RdxIE.dll
08.09.05 20:08 1.973.600 WebCleaner.dll
08.09.05 21:31 318 WebCleaner.inf
02.05.03 20:07 16.948 wficac.inf
7 Datei(en) 2.517.314 Bytes

Anzahl der angezeigten Dateien:
7 Datei(en) 2.517.314 Bytes
0 Verzeichnis(se), 10.976.411.648 Bytes frei
Dieser Beitrag wurde am 29.06.2006 um 14:38 Uhr von back editiert.
Seitenanfang Seitenende
30.06.2006, 01:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 0
Gehe in die Registry
Start - Ausfuehren - regedit

HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations\C:\Temp\_iu14D2N.tmp<--loeschen

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ummr -> loeschen

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

---------------------------------------------------------------------
3.
Look2Me-Destroyer V1.0.5 anwenden
http://virus-protect.org/l2mfix.html

4.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\command.exe
C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\asappsrv.dll
C:\Programme\Network Monitor\netmon.exe
C:\Dokumente und Einstellungen\Benutzer0613\Lokale Einstellungen\Temp\!update.exe
C:\Temp\!update.exe
C:\Temp\_iu14D2N.tmp
C:\Temp\83.tmp
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\System32\drivers\xinstall.sys
C:\WINDOWS\system32\mwsystem.dll
C:\WINDOWS\System32\poxgm.dll
C:\WINDOWS\System32\wnscpcc.exe
C:\WINDOWS\System32\rundll32.dll
C:\WINDOWS\System32\MUHTML.DLL
C:\WINDOWS\System32\bfbdca_s.ocx
C:\WINDOWS\System32\bfedabdb_s.dll
C:\WINDOWS\System32\JHED500.DLL
C:\WINDOWS\System32\JKST500.DLL
C:\WINDOWS\System32\ofxe.dll
C:\WINDOWS\keyboard1.dat
C:\kybrdb_2.exe
C:\nwnmb_2.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
5.
poste den scanreport vom Avenger

**
6.
starte n Rechner in den abgesicherten modus

**
7.

Zitat

loesche den Purityscan

C:\WINDOWS\W..nSxS\s..ool32.exe

C:\Programme\..ymantec
28.06.06 11:43 <DIR> ?ymantec -> suche nach Datum, sonst findest du es nicht..nicht mit Symantec verwechseln !

C:\WINDOWS\PPATCH.....1\

stellt sich so dar: C:\WINDOWS\PPATCH~1\winlogon.exe (natuerlich darfst du nicht die regulaere winlogon.exe loeschen, sondern schaue wieder nach dem Datum, es muss eine Datei sein, die sich vor kurzem installiert hat................

---------------------------------------------------------------------------------

loesche:
C:\Programme\Network Monitor
C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ
C:\Temp\Orte
C:\Temp\VBE
C:\Temp\VPMECTMP


8.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [keyboard] c:\\kybrdb_2.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmb_2.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/promocache/3633352D2D2D.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O20 - AppInit_DLLs: C:\WINDOWS\System32\rundll32.dll
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\q2nulc591f.dll
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\mwsystem.dll
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\mwsystem.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
9.
PC neustarten--> in den Normalmodus

10.
DR.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren
%userprofile%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.06.2006, 12:55
back
Member

Themenstarter

Beiträge: 19
#13 Hi Sabine ;)

Ich hoffe, Du steigst hier durch (ich hate gedacht, mit dem "Quote-Tag" kann man´s leichter lesen)
Na dann mal wieder viel Spaß

*********************************

Zitat

Sabina postete
0.
Gehe in die Registry
Start - Ausfuehren - regedit

HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations\C:\Temp\_iu14D2N.tmp<--loeschen

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ummr -> loeschen
_iu14D2N.tmp habe ich hier gefunden und gelöscht: [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

Ummr --> gelöscht

1.

Zitat

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
OK

2.

Zitat

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
OK

---------------------------------------------------------------------
3.

Zitat

Look2Me-Destroyer V1.0.5 anwenden
http://virus-protect.org/l2mfix.html
OK

4.

Zitat

Avenger
OK

**
5.

Zitat

poste den scanreport vom Avenger
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lkdlcbml

*******************

Script file located at: \??\C:\WINDOWS\System32\uuywyfqw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Status: 0xc0000034



File C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\command.exe not found!
Deletion of file C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\command.exe failed!

Could not process line:
C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\command.exe
Status: 0xc0000034



File C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\asappsrv.dll not found!
Deletion of file C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\asappsrv.dll failed!

Could not process line:
C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\asappsrv.dll
Status: 0xc0000034



Could not open file C:\Programme\Network Monitor\netmon.exe for deletion
Deletion of file C:\Programme\Network Monitor\netmon.exe failed!

Could not process line:
C:\Programme\Network Monitor\netmon.exe
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\Benutzer0613\Lokale Einstellungen\Temp\!update.exe for deletion
Deletion of file C:\Dokumente und Einstellungen\Benutzer0613\Lokale Einstellungen\Temp\!update.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Benutzer0613\Lokale Einstellungen\Temp\!update.exe
Status: 0xc000003a



File C:\Temp\!update.exe not found!
Deletion of file C:\Temp\!update.exe failed!

Could not process line:
C:\Temp\!update.exe
Status: 0xc0000034



File C:\_iu14D2N.tmp not found!
Deletion of file C:\_iu14D2N.tmp failed!

Could not process line:
C:\_iu14D2N.tmp
Status: 0xc0000034



File C:\Temp\83.tmp not found!
Deletion of file C:\Temp\83.tmp failed!

Could not process line:
C:\Temp\83.tmp
Status: 0xc0000034



File C:\WINDOWS\uninstall_nmon.vbs not found!
Deletion of file C:\WINDOWS\uninstall_nmon.vbs failed!

Could not process line:
C:\WINDOWS\uninstall_nmon.vbs
Status: 0xc0000034



File C:\WINDOWS\System32\drivers\xinstall.sys not found!
Deletion of file C:\WINDOWS\System32\drivers\xinstall.sys failed!

Could not process line:
C:\WINDOWS\System32\drivers\xinstall.sys
Status: 0xc0000034



File C:\WINDOWS\system32\mwsystem.dll not found!
Deletion of file C:\WINDOWS\system32\mwsystem.dll failed!

Could not process line:
C:\WINDOWS\system32\mwsystem.dll
Status: 0xc0000034



File C:\WINDOWS\System32\poxgm.dll not found!
Deletion of file C:\WINDOWS\System32\poxgm.dll failed!

Could not process line:
C:\WINDOWS\System32\poxgm.dll
Status: 0xc0000034



File C:\WINDOWS\System32\wnscpcc.exe not found!
Deletion of file C:\WINDOWS\System32\wnscpcc.exe failed!

Could not process line:
C:\WINDOWS\System32\wnscpcc.exe
Status: 0xc0000034



File C:\WINDOWS\System32\rundll32.dll not found!
Deletion of file C:\WINDOWS\System32\rundll32.dll failed!

Could not process line:
C:\WINDOWS\System32\rundll32.dll
Status: 0xc0000034



File C:\WINDOWS\System32\MUHTML.DLL not found!
Deletion of file C:\WINDOWS\System32\MUHTML.DLL failed!

Could not process line:
C:\WINDOWS\System32\MUHTML.DLL
Status: 0xc0000034



File C:\WINDOWS\System32\bfbdca_s.ocx not found!
Deletion of file C:\WINDOWS\System32\bfbdca_s.ocx failed!

Could not process line:
C:\WINDOWS\System32\bfbdca_s.ocx
Status: 0xc0000034



File C:\WINDOWS\System32\bfedabdb_s.dll not found!
Deletion of file C:\WINDOWS\System32\bfedabdb_s.dll failed!

Could not process line:
C:\WINDOWS\System32\bfedabdb_s.dll
Status: 0xc0000034



File C:\WINDOWS\System32\JHED500.DLL not found!
Deletion of file C:\WINDOWS\System32\JHED500.DLL failed!

Could not process line:
C:\WINDOWS\System32\JHED500.DLL
Status: 0xc0000034



File C:\WINDOWS\System32\JKST500.DLL not found!
Deletion of file C:\WINDOWS\System32\JKST500.DLL failed!

Could not process line:
C:\WINDOWS\System32\JKST500.DLL
Status: 0xc0000034



File C:\WINDOWS\System32\ofxe.dll not found!
Deletion of file C:\WINDOWS\System32\ofxe.dll failed!

Could not process line:
C:\WINDOWS\System32\ofxe.dll
Status: 0xc0000034



File C:\WINDOWS\keyboard1.dat not found!
Deletion of file C:\WINDOWS\keyboard1.dat failed!

Could not process line:
C:\WINDOWS\keyboard1.dat
Status: 0xc0000034



File C:\kybrdb_2.exe not found!
Deletion of file C:\kybrdb_2.exe failed!

Could not process line:
C:\kybrdb_2.exe
Status: 0xc0000034



File C:\nwnmb_2.exe not found!
Deletion of file C:\nwnmb_2.exe failed!

Could not process line:
C:\nwnmb_2.exe
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

**
6.

Zitat

starte n Rechner in den abgesicherten modus
OK

**
7.

Zitat

loesche den Purityscan

C:\WINDOWS\W..nSxS\s..ool32.exe

C:\Programme\..ymantec
28.06.06 11:43 <DIR> ?ymantec -> suche nach Datum, sonst findest du es nicht..nicht mit Symantec verwechseln !

C:\WINDOWS\PPATCH.....1\

stellt sich so dar: C:\WINDOWS\PPATCH~1\winlogon.exe (natuerlich darfst du nicht die regulaere winlogon.exe loeschen, sondern schaue wieder nach dem Datum, es muss eine Datei sein, die sich vor kurzem installiert hat................

Sorry, doch mit diesen Angaben kann ich nichts anfangen --> ich finde die Dateien (s..ool32.exe, ?ymantec) nicht!
Die jüngste winlogon.exe habe ich gelöscht (die alten winlogon.exe aus dem Jahr 2003/2004 habe ich gelassen)


---------------------------------------------------------------------------------

Zitat

loesche:
C:\Programme\Network Monitor
C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ
C:\Temp\Orte
C:\Temp\VBE
C:\Temp\VPMECTMP
OK

8.

Zitat

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [keyboard] c:\\kybrdb_2.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmb_2.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/promocache/3633352D2D2D.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O20 - AppInit_DLLs: C:\WINDOWS\System32\rundll32.dll
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\q2nulc591f.dll
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\mwsystem.dll
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\mwsystem.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QURBIC0gSEFTIElUIE1hbmFnZW1lbnQ\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe 9.
PC neustarten--> in den Normalmodus
OK

Habe nur folgenden Eintrag gefunden und gelöscht. Alle anderen Einträge existieren nicht!
O20 - AppInit_DLLs: C:\WINDOWS\System32\rundll32.dll



10.

Zitat

DR.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren
%userprofile%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
Prüfbericht:

!update-3895[1].0000 C:\Dokumente und Einstellungen\00012452\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPUFE96B Adware.ClickSpring
svchostupdate.exe C:\Programme\Common Files\svchostsys Trojan.DownLoader.10155 Nicht desinfizierbar.Verschoben.
memehoc.html\Javascript.0 C:\Programme\Windows Media Player\memehoc.html Trojan.Click.1237



Ich bin ja immer noch am Staunen, das Du für eine fremde Person wie mich solch einen Aufwand betreibst ... wie kann ich das nur wieder gut machen ;)

Danke und schönes Wochenende ... werde sicherlich erst wieder am Montag antworten.


NACHTRAG: Bekomme aktuell immer noch diese netten Werbe-Popppppups. Iss schon echt verrückt!
.
Dieser Beitrag wurde am 30.06.2006 um 13:22 Uhr von back editiert.
Seitenanfang Seitenende
01.07.2006, 02:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 der purityscan ist nicht geloescht... aber der MUSS runter....
lade ewido, boote in den abgesicherten Modus und scanne
http://virus-protect.org/ewido.html
poste dann den scanreport !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 12:22
back
Member

Themenstarter

Beiträge: 19
#15 Ich konnte kein online-Update durchführen und habe den Scanner im Save Mode trotzdem laufen lassen. Nach dem durchgeführten Scann habe ich auf "Alle Aktionen übernehmen" geklickt. Trotzdem zeigt der Bericht für die Ergebnisse "keine Aktion durchgeführt" an!

Hier der Bericht.

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 12:07:59 03.07.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Benutzer0613\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPUFE96B\!update-3895[1].0000 -> Downloader.PurityScan.co : Keine Aktion durchgeführt.

D:\Privat\#_Backup\Profil_Benutzer0613_26.06.06\Cookies\Benutzer0613@axelspringer.122.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.

edit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123