Home » Spyware & Browser Hijacker Support Forum » windows security center » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

windows security center

Thema ist geschlossen!

27.06.2006, 21:47

pio

...neu hier

Beiträge: 5

#1 hallo, ich hab folgende probleme und bin auf hilfe angewiesen. bei mir öffnet sich ein windows security center, welches wie folgt aussieht.

http://board.protecus.de/t21833.htm#224414

der post vom: 30.04.2006, 20:13 von sabina

die beiden oberen fenster öffnen sich bei mir ebefalls.

hier ist mein hijackthis, ich hoffe ich hab es richtig verstanden, falls nicht bitte ich um verzeihung, kenne mich leider nicht besser aus.

Logfile of HijackThis v1.99.1
Scan saved at 21:21:59, on 27.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\PC-TV\TwinhanDTV\Agent.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\users32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Timo\Desktop\sabine\HijackThis.exe

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: adobepnl.ADOBE_PANEL - {A40D9D65-5C09-421A-AFF8-2160D7ABD4E7} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Agent.lnk = C:\Programme\PC-TV\TwinhanDTV\Agent.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[/img]

Anhang: center.png

28.06.2006, 01:31

Sabina

Ehrenmitglied

Beiträge: 29434

#2 1.
bitte smitfraud.fix abarbeiten
http://virus-protect.org/artikel/tools/smitfrautfix.html

um die restlichen Viren zu finden:

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

28.06.2006, 17:01

pio

...neu hier

Themenstarter

Beiträge: 5

#3 Vielen dank für die mühe, ich hoffe ich hab alles richtig gemacht!!

SmitFraudFix v2.65

Scan done at 16:46:03,32, 28.06.2006
Run from C:\Dokumente und Einstellungen\Timo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\alexaie.dll Deleted
C:\WINDOWS\alxie328.dll Deleted
C:\WINDOWS\alxtb1.dll Deleted
C:\WINDOWS\about_spyware_bg.gif Deleted
C:\WINDOWS\about_spyware_bottom.gif Deleted
C:\WINDOWS\as.gif Deleted
C:\WINDOWS\as_header.gif Deleted
C:\WINDOWS\bg.gif Deleted
C:\WINDOWS\box_1.gif Deleted
C:\WINDOWS\box_2.gif Deleted
C:\WINDOWS\box_3.gif Deleted
C:\WINDOWS\BTGrab.dll Deleted
C:\WINDOWS\button_buynow.gif Deleted
C:\WINDOWS\button_freescan.gif Deleted
C:\WINDOWS\close-bar.gif Deleted
C:\WINDOWS\dlmax.dll Deleted
C:\WINDOWS\download_box.gif Deleted
C:\WINDOWS\features.gif Deleted
C:\WINDOWS\footer_back.gif Deleted
C:\WINDOWS\footer_back.jpg Deleted
C:\WINDOWS\header_1.gif Deleted
C:\WINDOWS\header_2.gif Deleted
C:\WINDOWS\header_3.gif Deleted
C:\WINDOWS\header_4.gif Deleted
C:\WINDOWS\infected.gif Deleted
C:\WINDOWS\main_back.gif Deleted
C:\WINDOWS\Pynix.dll Deleted
C:\WINDOWS\rf.gif Deleted
C:\WINDOWS\rf_header.gif Deleted
C:\WINDOWS\scan_btn.gif Deleted
C:\WINDOWS\security-center-bg.gif Deleted
C:\WINDOWS\security-center-logo.gif Deleted
C:\WINDOWS\security_center_caption.gif Deleted
C:\WINDOWS\sep_hor.gif Deleted
C:\WINDOWS\sep_vert.gif Deleted
C:\WINDOWS\spacer.gif Deleted
C:\WINDOWS\spyware-detected.gif Deleted
C:\WINDOWS\star.gif Deleted
C:\WINDOWS\star_gray.gif Deleted
C:\WINDOWS\star_gray_small.gif Deleted
C:\WINDOWS\star_small.gif Deleted
C:\WINDOWS\ts.gif Deleted
C:\WINDOWS\ts_header.gif Deleted
C:\WINDOWS\susp.exe Deleted
C:\WINDOWS\v.gif Deleted
C:\WINDOWS\warning_icon.gif Deleted
C:\WINDOWS\warning-bar-ico.gif Deleted
C:\WINDOWS\win_logo.gif Deleted
C:\WINDOWS\x.gif Deleted
C:\WINDOWS\ZServ.dll Deleted
C:\WINDOWS\system32\a.exe Deleted
C:\WINDOWS\system32\adobepnl.dll Deleted
C:\WINDOWS\system32\alxres.dll Deleted
C:\WINDOWS\system32\bridge.dll Deleted
C:\WINDOWS\system32\dailytoolbar.dll Deleted
C:\WINDOWS\system32\jao.dll Deleted
C:\WINDOWS\system32\qjrkvy.exe Deleted
C:\WINDOWS\system32\questmod.dll Deleted
C:\WINDOWS\system32\runsrv32.dll Deleted
C:\WINDOWS\system32\runsrv32.exe Deleted
C:\WINDOWS\system32\tcpservice2.exe Deleted
C:\WINDOWS\system32\thlwin32.dll Deleted
C:\WINDOWS\system32\txfdb32.dll Deleted
C:\WINDOWS\system32\udpmod.dll Deleted
C:\WINDOWS\system32\users32.exe Deleted
C:\WINDOWS\system32\winflash.dll Deleted
C:\WINDOWS\system32\wstart.dll Deleted
C:\WINDOWS\system32\zlbw.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\WINDOWS\system32

28.06.2006 16:53 53.098 perfc009.dat
28.06.2006 16:53 380.684 perfh009.dat
28.06.2006 16:53 391.574 perfh007.dat
28.06.2006 16:53 63.976 perfc007.dat
28.06.2006 16:53 897.954 PerfStringBackup.INI
28.06.2006 16:52 30.098 nvapps.xml
28.06.2006 16:37 0 lrf.dat
28.06.2006 16:37 8 winlogon.ini
28.06.2006 16:27 8.704 qlzdgzhd.exe
27.06.2006 19:44 2.206 wpa.dbl
22.06.2006 12:47 181.248 rasmans.dll
13.06.2006 21:21 57.384 avsda.dll
09.06.2006 23:07 7.666 ehqycxkh.exe.vir
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 19:16 6.152 uikhlyuh.exe
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
07.05.2006 19:11 6.152 mszkkvrr.exe
27.04.2006 22:08 6.152 phqghume.exe
27.04.2006 17:49 288.417 SrchSTS.exe
24.04.2006 15:40 4.730.880 wmp.dll
12.04.2006 21:08 4 winsub.xml
12.04.2006 21:08 63 svcp.csv
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 11.776 xolehlp.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\DOKUME~1\Timo\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\WINDOWS

28.06.2006 16:55 1.751.880 WindowsUpdate.log
28.06.2006 16:48 0 0.log
28.06.2006 16:48 2.048 bootstat.dat
28.06.2006 16:46 183.399 setupact.log
28.06.2006 16:43 126.994 ntbtlog.txt
28.06.2006 16:43 32.618 SchedLgU.Txt
28.06.2006 16:27 878 style.css
27.06.2006 22:33 50.363 iis6.log
27.06.2006 22:33 126.276 tsoc.log
27.06.2006 22:33 1.374 imsins.log
27.06.2006 22:33 21.382 KB911280.log
27.06.2006 22:33 69.826 ntdtcsetup.log
27.06.2006 22:33 117.991 comsetup.log
27.06.2006 22:33 17.985 ocmsn.log
27.06.2006 22:33 160.485 ocgen.log
27.06.2006 22:33 16.321 msgsocm.log
27.06.2006 22:33 320.676 FaxSetup.log
27.06.2006 22:33 654.385 setupapi.log
27.06.2006 22:33 20.921 updspapi.log
27.06.2006 22:03 1.374 imsins.BAK
27.06.2006 21:57 216 wiadebug.log
27.06.2006 20:07 50 wiaservc.log
18.06.2006 03:07 1.830 spupdsvc.log
18.06.2006 03:01 13.308 KB917734.log
18.06.2006 03:01 44.551 wmsetup.log
18.06.2006 03:00 15.278 KB918439.log
18.06.2006 03:00 15.961 KB917344.log
18.06.2006 03:00 14.920 KB917953.log
18.06.2006 03:00 18.700 KB916281.log
18.06.2006 03:00 12.331 KB914389.log
13.06.2006 21:16 116 NeroDigital.ini
11.06.2006 12:00 0 setuperr.log
09.05.2006 22:25 12.021 KB913580.log
25.04.2006 21:26 11.212 KB900485.log
24.04.2006 22:18 1.210 SynInst.log
18.04.2006 23:01 15.541 KB908531.log
18.04.2006 23:01 14.711 KB911562.log
18.04.2006 23:01 17.958 KB912812.log
18.04.2006 23:01 10.843 KB911567.log
15.04.2006 11:00 227 system.ini
15.04.2006 11:00 573 win.ini
03.04.2006 16:32 67 StationRipper.INI
20.03.2006 22:09 3.387.654 ACD Hintergrund.bmp
20.03.2006 20:33 316.640 WMSysPr9.prx
13.03.2006 20:44 151 PhotoSnapViewer.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\

28.06.2006 17:00 0 sys.txt
28.06.2006 16:59 8.522 system.txt
28.06.2006 16:55 132 systemtemp.txt
28.06.2006 16:54 93.025 system32.txt
28.06.2006 16:48 1.610.612.736 pagefile.sys
28.06.2006 16:46 3.303 rapport.txt
15.04.2006 11:00 211 boot.ini
19.01.2006 18:58 0 AUTOEXEC.BAT
19.01.2006 18:58 0 IO.SYS
19.01.2006 18:58 0 MSDOS.SYS
19.01.2006 18:58 0 CONFIG.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
14 Datei(en) 1.611.021.629 Bytes
0 Verzeichnis(se), 4.202.209.280 Bytes frei

28.06.2006, 22:14

Sabina

Ehrenmitglied

Beiträge: 29434

#4 0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

--------------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: adobepnl.ADOBE_PANEL - {A40D9D65-5C09-421A-AFF8-2160D7ABD4E7} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\lrf.dat
C:\WINDOWS\system32\winlogon.ini
C:\WINDOWS\system32\qlzdgzhd.exe
C:\WINDOWS\system32\ehqycxkh.exe.vir
C:\WINDOWS\system32\uikhlyuh.exe
C:\WINDOWS\system32\mszkkvrr.exe
C:\WINDOWS\system32\phqghume.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\style.css

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

----------------------------------------------------------------

Information:
http://virus-protect.org/artikel/spyware/titanshield.html
__________
MfG Sabina

rund um die PC-Sicherheit

28.06.2006, 23:32

pio

...neu hier

Themenstarter

Beiträge: 5

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\WINDOWS\Temp

28.06.2006 22:06 <DIR> .
28.06.2006 22:06 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.238.716.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\Temp

28.06.2006 16:21 <DIR> .
28.06.2006 16:21 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.238.716.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\WINDOWS\Temp

28.06.2006 22:56 <DIR> .
28.06.2006 22:56 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.102.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0EC-73F6

Verzeichnis von C:\Temp

28.06.2006 16:21 <DIR> .
28.06.2006 16:21 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.102.208 Bytes frei

beim HijackThis hatte ich nur diese Malware
O2 - BHO: adobepnl.ADOBE_PANEL - {A40D9D65-5C09-421A-AFF8-2160D7ABD4E7} - C:\WINDOWS\system32\adobepnl.dll

dementsprechend hab ich auch nur dort einen hacken gesetzt.

hier der scanreport von kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, June 28, 2006 11:28:57 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 28/06/2006
Kaspersky Anti-Virus database records: 191325
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 52121
Number of viruses found: 1
Number of infected objects: 2 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:24:00

Infected Object Name / Virus Name / Last Action
C:\avenger\backup.zip/avenger/qlzdgzhd.exe Infected: Trojan-Downloader.Win32.VB.afr skipped
C:\avenger\backup.zip ZIP: infected - 1 skipped
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Timo\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Timo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\Timo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Timo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Timo\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Timo\ntuser.dat Object is locked skipped
C:\Dokumente und Einstellungen\Timo\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{02AEF43D-6F49-4644-8F6B-56462BAC31B6}\RP124\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

MfG Timo

28.06.2006, 23:39

Sabina

Ehrenmitglied

Beiträge: 29434

#6 loesche: C:\avenger\backup.zip

dann mache bitte einen Onlinescan mit panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.06.2006, 08:40

pio

...neu hier

Themenstarter

Beiträge: 5

#7 Incident Status Location

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Timo\Cookies\timo@as-eu.falkag[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Timo\Cookies\timo@atdmt[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Timo\Cookies\timo@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Timo\Cookies\timo@mediaplex[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Timo\Cookies\timo@tradedoubler[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Timo\Desktop\sabine\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Hacktool:HackTool/EvID4226 Not disinfected D:\Tools&Treiber\Bugfix&Tools\WinXP.SP2.eMule.Patch.exe

29.06.2006, 09:26

Sabina

Ehrenmitglied

Beiträge: 29434

#8 verabschiede dich bitte von diesem Crack, wenn du einen sauberen Rechner willst

D:\Tools&Treiber\Bugfix&Tools\WinXP.SP2.eMule.Patch.exe
ansonsten ist wieder alles o.k.
__________
MfG Sabina

rund um die PC-Sicherheit

29.06.2006, 10:23

pio

...neu hier

Themenstarter

Beiträge: 5

#9 Okay vielen vielen dank nochmal. Ich hoffe sowas passiert mir nicht noch einmal, werde mir mal die Information durchlesen.

MfG Timo

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1