zlob-bn hat auch mich erwischt

#0
02.07.2006, 14:29
...neu hier

Beiträge: 5
#1 Hallo Saboma, oder wer auch immer mir helfen kann.
Mein noch computerunerfahrener Mann, hat uns den zlob-bn beschert, den ich leider mit eigener Hilfe nicht losbekomme. Habe bereits vorherige Beitraege zu dem Trojaner gelesen und nun ein logfile ueber hijacker erstellt. Da ich das Ding nicht lesen kann, bitte ich dich/euch, mir zu helfen, was ich loeschen etc. bzw. wie ich vorgehen muss. Bloede Anfaenger-Frage, aber das bin ich halt: Muss ich das logfile bereits im abgesicherten Modus erstellen? (Dann muesste ich es nochmal machen.

Ganz lieben Dank!
Sesimbra 72

Hier der logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:16:19, on 2/7/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\WinLogT.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo! Acesso Grátis\baloon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\License_Manager\license_manager.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\All Users\Dokumente\antivirus\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll
O2 - BHO: phoneaccess Class - {5054F860-748D-4840-B7B4-DDDB428421AF} - C:\WINDOWS\DOWNLO~1\PHONEA~1.DLL
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=xxxxxxxxx Seri*hier nicht!*xxxxxxxxxxxx lang=DE
O4 - HKLM\..\Run: [WinLogT] C:\WINDOWS\WinLogT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Programme\Yahoo! Acesso Grátis\baloon.exe"
O4 - HKCU\..\Run: [License Manager] "C:\Programme\License_Manager\license_manager.exe " /silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://cpib.bradesco.com.br/scpsssh2.cab
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/pt/phoneaccess.cab
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD32BB30-0AAF-48F1-8D92-18307F947975}: NameServer = 200.165.132.154 200.149.55.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Seitenanfang Seitenende
03.07.2006, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 15:36
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina!

Hier die 4 logs ueber datfind.bat. Sorry, hat laenger gedauert, da ich nur am Wochenende dazu komme.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\WINDOWS\system32

08/07/2006 13:26 5.112 winID2.bk
08/07/2006 13:26 5.112 isset.dat
08/07/2006 13:26 764 isexp.dat
08/07/2006 13:26 764 winID.bk
06/07/2006 17:16 521.464 islog.dat

02/07/2006 18:18 3.948 browserclips_err.log
02/07/2006 18:18 36 isbrowsers.dat
02/07/2006 18:18 8 isurl.dat
02/07/2006 18:18 424.590 isPretiled_1x6.bmp
02/07/2006 18:18 640.054 isPretiled_1x4.bmp
02/07/2006 18:18 786.486 isPretiled_1x3.bmp
02/07/2006 18:18 524.342 isPretiled_1x2.bmp
02/07/2006 18:18 262.198 isPretiled_1x1.bmp
02/07/2006 18:18 424.590 isPretiled_6x1.bmp
02/07/2006 18:18 640.054 isPretiled_4x1.bmp
02/07/2006 18:18 786.486 isPretiled_3x1.bmp
02/07/2006 18:18 524.342 isPretiled_2x1.bmp
02/07/2006 18:18 45.043 istile.jpg
02/07/2006 18:18 45.043 istest.jpg
02/07/2006 18:15 1.312 isblock.htm
02/07/2006 18:15 2 isLang.dat

29/06/2006 06:17 126.976 entry.dll
29/06/2006 00:59 2.422 wpa.dbl
22/06/2006 20:03 693.596 ishelp.chm
22/06/2006 18:19 499.712 iscp.cpl
22/06/2006 02:01 726.560 PerfStringBackup.INI
21/06/2006 09:23 2.736.128 winID2.log
21/06/2006 09:23 2.736.128 ISIEEDIT.dll
18/06/2006 05:12 189.000 FNTCACHE.DAT
17/06/2006 15:31 262.150 isuni.exe
17/06/2006 12:57 28.672 lastuni.exe
16/06/2006 14:34 48.936 sirenacm.dll
14/06/2006 16:59 689 iswlist.bin
13/06/2006 11:51 49.152 browserclips.exe
09/06/2006 13:43 157 isblist.bin
09/06/2006 03:19 5.967.776 MRT.exe
08/06/2006 01:17 3.002 CONFIG.NT
07/06/2006 21:11 314.842 perfh009.dat
07/06/2006 21:11 41.170 perfc009.dat
07/06/2006 21:11 320.066 perfh007.dat
07/06/2006 21:11 49.402 perfc007.dat
01/06/2006 01:10 4.720 iside100.vxd
31/05/2006 11:02 624.640 aswBoot.exe
31/05/2006 10:54 90.112 AVASTSS.scr
26/05/2006 22:19 163.840 JGDW400.DLL
26/05/2006 15:49 1.339.904 SHDOCVW.DLL
19/05/2006 16:08 2.702.848 MSHTML.DLL
18/05/2006 08:13 458.752 jscript.dll
16/05/2006 16:38 11.515 isvocab.bin
08/05/2006 12:30 463.360 URLMON.DLL
04/05/2006 18:10 134 istrack.bin
04/05/2006 18:10 3.750 islinks.bin
04/05/2006 18:10 172 isglist.bin
28/04/2006 15:08 582.144 WININET.DLL
28/04/2006 10:58 12.288 JSPROXY.DLL
28/04/2006 10:57 351.744 DXTMSFT.DLL
27/04/2006 17:49 288.417 SrchSTS.exe
24/04/2006 16:17 1.425.680 wmpui.dll
13/04/2006 18:22 49.152 svcia32.dll
06/04/2006 16:15 27.648 JGPL400.DLL


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\WINDOWS

08/07/2006 14:56 4.058 fastporn.dat
08/07/2006 14:56 455.294 skin.dat
08/07/2006 14:56 2.858 porn.dat
08/07/2006 14:56 786.432 luv.dat
08/07/2006 14:56 946.201 fface.xml

08/07/2006 14:13 1.670.472 WindowsUpdate.log
08/07/2006 14:05 0 0.log
08/07/2006 14:03 159 wiadebug.log
08/07/2006 14:03 50 wiaservc.log
08/07/2006 14:03 2.048 bootstat.dat
08/07/2006 13:36 32.546 SchedLgU.Txt
07/07/2006 04:07 786.543 setupapi.log
07/07/2006 01:38 34 HJMAT.INI
02/07/2006 17:38 140.974 ntbtlog.txt
02/07/2006 16:22 173.902 setupact.log
30/06/2006 23:42 16.693 KB914798.log
30/06/2006 23:41 48.604 iis6.log
30/06/2006 23:41 116.079 comsetup.log
30/06/2006 23:41 68.830 ntdtcsetup.log
30/06/2006 23:41 1.374 imsins.log
30/06/2006 23:41 125.632 tsoc.log
30/06/2006 23:41 7.379 KB918439-IE6SP1-20060530.145346.log
30/06/2006 23:41 11.580 ocmsn.log
30/06/2006 23:41 169.569 ocgen.log
30/06/2006 23:41 15.907 msgsocm.log
30/06/2006 23:41 330.322 FaxSetup.log
30/06/2006 23:40 1.374 imsins.BAK
30/06/2006 23:40 7.946 KB916281-IE6SP1-20060526.162249.log
30/06/2006 23:39 22.210 updspapi.log
30/06/2006 23:39 13.137 KB917344.log
30/06/2006 23:38 12.660 KB917953.log
30/06/2006 23:37 7.949 KB917734.log
30/06/2006 23:35 13.834 KB914389.log
29/06/2006 06:08 6.990 tmlpcert2007
29/06/2006 05:26 4.174 ModemLog_Conexant 56K ACLink Modem.txt
28/06/2006 04:17 684 win.ini
02/06/2006 20:11 9.380 wmsetup.log
01/06/2006 21:31 923 spupdsvc.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\DOKUME~1\sesimbra\LOKALE~1\Temp

08/07/2006 14:09 268 Err11.tmp
08/07/2006 14:03 65.536 ~DFB303.tmp
08/07/2006 13:23 268 Err10.tmp
08/07/2006 13:22 65.536 ~DFF037.tmp
07/07/2006 18:23 65.536 ~DFB739.tmp
07/07/2006 18:15 268 ErrF.tmp
07/07/2006 02:11 0 tem3A.tmp
07/07/2006 02:11 152 Err37.tmp
07/07/2006 01:51 152 Err2D.tmp
07/07/2006 01:51 0 tem2C.tmp
07/07/2006 01:51 152 Err29.tmp
07/07/2006 01:45 152 Err21.tmp
07/07/2006 01:43 152 Err1F.tmp
07/07/2006 01:32 268 ErrE.tmp
07/07/2006 01:26 65.536 ~DF9749.tmp
07/07/2006 00:35 65.536 ~DF5462.tmp
07/07/2006 00:32 0 WER26.tmp
07/07/2006 00:27 268 ErrD.tmp
07/07/2006 00:21 65.536 ~DFB4A0.tmp
06/07/2006 18:02 268 ErrC.tmp
06/07/2006 17:56 65.536 ~DF9BFC.tmp
06/07/2006 17:03 268 ErrB.tmp
06/07/2006 17:00 65.536 ~DFA0B4.tmp
06/07/2006 04:08 693 TWAIN.LOG
06/07/2006 04:08 156 Twunk001.MTX
06/07/2006 04:08 2 Twain001.Mtx
06/07/2006 01:06 0 Twunk002.MTX
06/07/2006 01:04 65.536 ~DF5A8D.tmp
05/07/2006 23:46 268 Err8.tmp
05/07/2006 22:50 0 WER20.tmp
05/07/2006 20:26 268 Err7.tmp
05/07/2006 20:23 65.536 ~DFB323.tmp
05/07/2006 19:40 268 ErrA.tmp
05/07/2006 19:34 65.536 ~DF9E04.tmp
04/07/2006 20:35 268 Err6.tmp
04/07/2006 20:31 65.536 ~DFBA11.tmp
04/07/2006 19:33 268 Err9.tmp
04/07/2006 19:31 65.536 ~DF1DE5.tmp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\

08/07/2006 15:24 0 sys.txt
08/07/2006 15:23 7.783 system.txt
08/07/2006 15:22 2.104 systemtemp.txt
08/07/2006 15:20 96.174 system32.txt
08/07/2006 15:04 488 hpfr5550.xml
08/07/2006 14:55 232 sqmdata16.sqm
08/07/2006 14:55 244 sqmnoopt16.sqm
08/07/2006 14:55 232 sqmdata15.sqm
08/07/2006 14:55 244 sqmnoopt15.sqm
08/07/2006 14:03 301.989.888 pagefile.sys
08/07/2006 13:35 232 sqmdata14.sqm
08/07/2006 13:35 244 sqmnoopt14.sqm
08/07/2006 13:34 232 sqmdata13.sqm
08/07/2006 13:34 244 sqmnoopt13.sqm
08/07/2006 13:34 232 sqmdata12.sqm
08/07/2006 13:34 244 sqmnoopt12.sqm
08/07/2006 13:31 232 sqmdata11.sqm
08/07/2006 13:31 244 sqmnoopt11.sqm
08/07/2006 13:30 232 sqmdata10.sqm
08/07/2006 13:30 244 sqmnoopt10.sqm
07/07/2006 04:00 232 sqmdata09.sqm
07/07/2006 04:00 244 sqmnoopt09.sqm
07/07/2006 03:59 232 sqmdata08.sqm
07/07/2006 03:59 244 sqmnoopt08.sqm
07/07/2006 03:59 232 sqmdata07.sqm
07/07/2006 03:59 244 sqmnoopt07.sqm
07/07/2006 03:59 232 sqmdata06.sqm
07/07/2006 03:59 244 sqmnoopt06.sqm
07/07/2006 03:59 232 sqmdata05.sqm
07/07/2006 03:59 244 sqmnoopt05.sqm
07/07/2006 03:58 244 sqmnoopt04.sqm
07/07/2006 03:58 232 sqmdata04.sqm
07/07/2006 03:58 232 sqmdata03.sqm
07/07/2006 03:58 244 sqmnoopt03.sqm
07/07/2006 03:57 232 sqmdata02.sqm
07/07/2006 03:57 244 sqmnoopt02.sqm
07/07/2006 03:53 232 sqmdata01.sqm
07/07/2006 03:53 244 sqmnoopt01.sqm
07/07/2006 03:52 232 sqmdata00.sqm
07/07/2006 03:52 244 sqmnoopt00.sqm
07/07/2006 03:51 232 sqmdata19.sqm
07/07/2006 03:51 244 sqmnoopt19.sqm
07/07/2006 03:50 232 sqmdata18.sqm
07/07/2006 03:50 244 sqmnoopt18.sqm
07/07/2006 03:50 232 sqmdata17.sqm
07/07/2006 03:50 244 sqmnoopt17.sqm
02/07/2006 16:22 911 rapport.txt


Ganz lieben Dank bereits im Voraus fuer die Hilfe!

Viele Gruesse aus Brasilien.

Sesimbra72
Seitenanfang Seitenende
08.07.2006, 15:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ainda preciso para completar:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
**
was hast du am 02/07/2006 18:18 geladen ? was ist das fuer ein Proggie ??
Wie war der Ablauf der Verseuchung ? Hast du was geladen ? einen Codec? oder wrst du auf einer bestimmten Seite ? Welcher ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 16:12
...neu hier

Themenstarter

Beiträge: 5
#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\WINDOWS\Downloaded Program Files
Hallo Sabina!

Leider kann ich nicht ganz nachverfolgen, von welcher Seite diese Misere stammt. Mein Freund ist Neuling im Internet und dem Computer. Er hat natuerlich gleich, neugierig wie er ist, obwohl ich ihn gewarnt habe, einige Schmuddelseiten besucht und dabei muss das passiert sein. Da mein Windows auf Deutsch konfiguriert ist und er nur Portugiesisch versteht, noch dazu die Ablaeufe bei Downloads noch nicht kennt, hat er also hoechstwahrscheinlich irgendwas bloedes runtergeladen.
Als ich dann zwei Sicherheitsicons auf dem Desktop fand, schwante mir bereits, dass er irgendeinen Bloedsinn runtergeladen hatte. Seitdem bekomme ich immer wieder Werbeeinblendungen von Popcorn, dass meine Testversion in 3 Tagen auslaeuft. Die kann ich nur ueber den Task-Manager temporaer entfernen.
Zumindest wird das Ganz so schnell nicht mehr passieren, da ich bereits eine Inhalts-Kontroll-Software installiert habe, die auch ganz gut funktioniert ;-)

Furchtbar lieben Dank schonmal!


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14/10/1997 18:52 697 DirectAnimation Java Classes.osd
25/07/2002 17:13 24.576 dwusplay.dll
25/07/2002 17:13 196.608 dwusplay.exe
19/09/2003 14:22 299.008 isusweb.dll
20/01/2000 15:25 1.162 Microsoft XML Parser for Java.osd
29/12/2005 14:22 67.584 phoneaccess.dll
6 Datei(en) 589.635 Bytes
0 Verzeichnis(se), 8.037.646.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp

08/07/2006 15:46 <DIR> .
08/07/2006 15:46 <DIR> ..
31/08/2005 01:22 68.164.096 684c4.msi
08/07/2006 13:23 268 Err10.tmp
08/07/2006 14:09 268 Err11.tmp
07/07/2006 01:43 152 Err1F.tmp
07/07/2006 01:45 152 Err21.tmp
07/07/2006 01:51 152 Err29.tmp
07/07/2006 01:51 152 Err2D.tmp
07/07/2006 02:11 152 Err37.tmp
04/07/2006 20:35 268 Err6.tmp
05/07/2006 20:26 268 Err7.tmp
05/07/2006 23:46 268 Err8.tmp
04/07/2006 19:33 268 Err9.tmp
05/07/2006 19:40 268 ErrA.tmp
06/07/2006 17:03 268 ErrB.tmp
06/07/2006 18:02 268 ErrC.tmp
07/07/2006 00:27 268 ErrD.tmp
07/07/2006 01:32 268 ErrE.tmp
07/07/2006 18:15 268 ErrF.tmp
07/07/2006 04:17 <DIR> MessengerCache
08/07/2006 15:41 <DIR> msohtml
08/07/2006 15:41 <DIR> msohtml1
07/07/2006 01:51 0 tem2C.tmp
07/07/2006 02:11 0 tem3A.tmp
06/07/2006 04:08 693 TWAIN.LOG
06/07/2006 04:08 2 Twain001.Mtx
06/07/2006 04:08 156 Twunk001.MTX
06/07/2006 01:06 0 Twunk002.MTX
05/07/2006 22:50 0 WER20.tmp
05/07/2006 22:51 <DIR> WER20.tmp.dir00
07/07/2006 00:32 0 WER26.tmp
07/07/2006 00:32 <DIR> WER26.tmp.dir00
05/07/2006 21:22 <DIR> _avast4_
04/07/2006 19:31 65.536 ~DF1DE5.tmp
07/07/2006 00:35 65.536 ~DF5462.tmp
06/07/2006 01:04 65.536 ~DF5A8D.tmp
07/07/2006 01:26 65.536 ~DF9749.tmp
06/07/2006 17:56 65.536 ~DF9BFC.tmp
05/07/2006 19:34 65.536 ~DF9E04.tmp
06/07/2006 17:00 65.536 ~DFA0B4.tmp
08/07/2006 14:03 65.536 ~DFB303.tmp
05/07/2006 20:23 65.536 ~DFB323.tmp
07/07/2006 00:21 65.536 ~DFB4A0.tmp
07/07/2006 18:23 65.536 ~DFB739.tmp
04/07/2006 20:31 65.536 ~DFBA11.tmp
08/07/2006 13:22 65.536 ~DFF037.tmp
39 Datei(en) 69.020.891 Bytes
8 Verzeichnis(se), 8.037.642.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\WINDOWS\Temp

08/07/2006 15:04 <DIR> .
08/07/2006 15:04 <DIR> ..
08/07/2006 14:04 16.384 Perflib_Perfdata_100.dat
05/07/2006 23:43 16.384 Perflib_Perfdata_104.dat
04/07/2006 20:32 16.384 Perflib_Perfdata_10c.dat
07/07/2006 00:22 16.384 Perflib_Perfdata_110.dat
05/07/2006 20:24 16.384 Perflib_Perfdata_11c.dat
07/07/2006 01:28 16.384 Perflib_Perfdata_178.dat
04/07/2006 19:31 16.384 Perflib_Perfdata_17c.dat
06/07/2006 17:58 16.384 Perflib_Perfdata_184.dat
08/07/2006 13:21 16.384 Perflib_Perfdata_5d0.dat
06/07/2006 17:01 16.384 Perflib_Perfdata_e4.dat
05/07/2006 20:26 901 z10.tmp
06/07/2006 17:03 901 z11.tmp
04/07/2006 20:35 901 zE.tmp
08/07/2006 16:01 <DIR> _avast4_
13 Datei(en) 166.543 Bytes
3 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Temp

04/07/2006 18:21 <DIR> .
04/07/2006 18:21 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Programme

04/07/2006 18:18 <DIR> .
04/07/2006 18:18 <DIR> ..
02/07/2006 15:23 <DIR> a-squared
28/12/2005 03:54 <DIR> Adobe
23/10/2005 14:32 <DIR> Alwil Software
18/10/2005 13:32 <DIR> ArcSoft
04/07/2006 18:19 <DIR> CleanUp!
19/10/2005 07:00 <DIR> COMPAQ
25/09/2005 18:08 <DIR> ComPlus Applications
19/10/2005 07:06 <DIR> CONEXANT
18/10/2005 13:35 <DIR> CyberLink
31/12/2005 21:03 <DIR> Digital Video
18/10/2005 13:32 <DIR> DLA
02/07/2006 18:49 <DIR> fsupport
02/07/2006 13:46 <DIR> Gemeinsame Dateien
28/02/2006 20:42 <DIR> Google
02/07/2006 18:15 <DIR> Guardware
19/10/2005 14:43 <DIR> Hewlett-Packard
19/10/2005 07:10 <DIR> HP
28/06/2006 04:11 <DIR> HP CD-DVD
19/10/2005 07:17 <DIR> HPQ
08/07/2006 14:53 <DIR> Internet Explorer
19/10/2005 07:02 <DIR> InterVideo
26/12/2005 00:41 <DIR> KODAK
29/06/2006 06:17 <DIR> License_Manager
17/06/2006 17:48 <DIR> Macromedia
28/05/2006 15:10 <DIR> Messenger
25/09/2005 18:12 <DIR> microsoft frontpage
29/06/2006 04:04 <DIR> Microsoft Office
19/10/2005 13:33 <DIR> Microsoft.NET
28/05/2006 15:10 <DIR> Movie Maker
25/09/2005 18:07 <DIR> MSN
25/09/2005 18:06 <DIR> MSN Gaming Zone
27/06/2006 05:19 <DIR> MSN Messenger
27/05/2006 02:14 <DIR> NetMeeting
25/09/2005 18:07 <DIR> Online Services
25/09/2005 18:09 <DIR> Online-Dienste
01/06/2006 18:02 <DIR> Outlook Express
26/12/2005 00:42 <DIR> QuickTime
23/10/2005 22:22 <DIR> RecordNow
19/10/2005 07:18 <DIR> Roxio
28/05/2006 15:10 <DIR> Simple Backup
16/06/2006 00:35 <DIR> Skullbyte
26/05/2006 19:10 <DIR> Skype
19/10/2005 07:13 <DIR> Synaptics
01/06/2006 18:04 <DIR> Windows Media Player
25/09/2005 18:06 <DIR> Windows NT
25/09/2005 18:12 <DIR> xerox
28/05/2006 15:10 <DIR> Yahoo! Acesso Gr tis
0 Datei(en) 0 Bytes
49 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Dokumente und Einstellungen\sesimbra\Anwendungsdaten

26/05/2006 19:24 <DIR> Adobe
16/06/2006 16:29 <DIR> AdobeUM
25/10/2005 02:57 <DIR> Corel
23/10/2005 15:58 <DIR> Google
21/12/2005 02:55 <DIR> Help
19/10/2005 14:57 <DIR> Hewlett-Packard
25/09/2005 19:00 <DIR> Identities
21/10/2005 21:26 <DIR> InterVideo
17/06/2006 21:54 <DIR> Macromedia
22/10/2005 15:07 <DIR> MSN6
08/07/2006 15:51 <DIR> Skype
21/10/2005 21:58 <DIR> VERITAS
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Programme\Gemeinsame Dateien

02/07/2006 13:46 <DIR> .
02/07/2006 13:46 <DIR> ..
19/10/2005 07:19 <DIR> Adaptec Shared
28/12/2005 03:39 <DIR> Adobe
04/05/2006 00:24 <DIR> DESIGNER
25/09/2005 18:08 <DIR> Dienste
19/10/2005 14:45 <DIR> Hewlett-Packard
25/10/2005 02:47 <DIR> InstallShield
26/12/2005 00:40 <DIR> Kodak
17/06/2006 17:50 <DIR> Macromedia
27/06/2006 05:20 <DIR> Microsoft Shared
25/09/2005 18:08 <DIR> MSSoap
25/09/2005 18:44 <DIR> ODBC
25/09/2005 18:44 <DIR> SpeechEngines
02/07/2006 13:46 <DIR> SWF Studio
01/06/2006 18:02 <DIR> System
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 8.037.634.048 Bytes frei
Dieser Beitrag wurde am 08.07.2006 um 16:21 Uhr von sesimbra72 editiert.
Seitenanfang Seitenende
08.07.2006, 16:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich verstehe/spreche/schreibe portugiesisch, aber wir machen es besser in Deutsch ;)
du hast nicht alles abkopiert ..oder ? da sollte noch viel mehr erscheinen............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 16:24
...neu hier

Themenstarter

Beiträge: 5
#7 Wow! Ich bin beeindruckt! Warst du mal ne Zeit in Brasilien? Kein Problem, fuer mich ist es ebenfalls, auch wenn ich schon recht fluessig bin, in deutsch auf jeden Fall stressloser!

Habe meinen Beitrag nochmal redigiert, da ich auch schon bemerkt hatte, dass der groesste Teil fehlte. ;-) Sorry.
Seitenanfang Seitenende
08.07.2006, 16:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\System32\scpsssh2.dll
C:\WINDOWS\system32\winID2.bk
C:\WINDOWS\system32\isset.dat
C:\WINDOWS\system32\isexp.dat
C:\WINDOWS\system32\winID.bk
C:\WINDOWS\system32\islog.dat
C:\WINDOWS\system32\browserclips_err.log
C:\WINDOWS\system32\isbrowsers.dat
C:\WINDOWS\system32\isurl.dat
C:\WINDOWS\system32\isPretiled_1x6.bmp
C:\WINDOWS\system32\isPretiled_1x4.bmp
C:\WINDOWS\system32\isPretiled_1x3.bmp
C:\WINDOWS\system32\isPretiled_1x2.bmp
C:\WINDOWS\system32\isPretiled_1x1.bmp
C:\WINDOWS\system32\isPretiled_6x1.bmp
C:\WINDOWS\system32\isPretiled_4x1.bmp
C:\WINDOWS\system32\isPretiled_3x1.bmp
C:\WINDOWS\system32\isPretiled_2x1.bmp
C:\WINDOWS\system32\istile.jpg
C:\WINDOWS\system32\istest.jpg
C:\WINDOWS\system32\isblock.htm
C:\WINDOWS\system32\isLang.dat
C:\WINDOWS\fastporn.dat
C:\WINDOWS\skin.dat
C:\WINDOWS\porn.dat
C:\WINDOWS\luv.dat
C:\WINDOWS\fface.xml
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err10.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err11.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err1F.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err21.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err29.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err2D.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err37.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err6.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err7.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err8.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err9.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrA.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrB.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrC.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrD.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrE.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrF.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\tem2C.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\tem3A.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\WER20.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\WER26.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF1DE5.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF5462.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF5A8D.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF9749.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF9BFC.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF9E04.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFA0B4.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB303.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB323.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB4A0.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB739.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFBA11.tmp
C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFF037.tmp
C:\WINDOWS\Temp\z10.tmp
C:\WINDOWS\Temp\z11.tmp
C:\WINDOWS\Temp\zE.tmp
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll
O2 - BHO: phoneaccess Class - {5054F860-748D-4840-B7B4-DDDB428421AF} - C:\WINDOWS\DOWNLO~1\PHONEA~1.DL

muss nicht im Autostart sein...und es scheint auch nicht koscher zu sein...

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" xxxxx/date= Seri*hier nicht!*xxxxx=lang=DE O16

- DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/pt/phoneaccess.cab
PC neustarten

**
erstelle eine neue bat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Guardware" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 20:21
...neu hier

Themenstarter

Beiträge: 5
#9 Hallo Sabina!
Hier ist der log vom Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hfqahjra

*******************

Script file located at: \??\C:\WINDOWS\ounrgpdv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\scpsssh2.dll deleted successfully.
File C:\WINDOWS\system32\winID2.bk deleted successfully.
File C:\WINDOWS\system32\isset.dat deleted successfully.
File C:\WINDOWS\system32\isexp.dat deleted successfully.
File C:\WINDOWS\system32\winID.bk deleted successfully.
File C:\WINDOWS\system32\islog.dat deleted successfully.
File C:\WINDOWS\system32\browserclips_err.log deleted successfully.
File C:\WINDOWS\system32\isbrowsers.dat deleted successfully.
File C:\WINDOWS\system32\isurl.dat deleted successfully.
File C:\WINDOWS\system32\isPretiled_1x6.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_1x4.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_1x3.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_1x2.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_1x1.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_6x1.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_4x1.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_3x1.bmp deleted successfully.
File C:\WINDOWS\system32\isPretiled_2x1.bmp deleted successfully.
File C:\WINDOWS\system32\istile.jpg deleted successfully.
File C:\WINDOWS\system32\istest.jpg deleted successfully.
File C:\WINDOWS\system32\isblock.htm deleted successfully.
File C:\WINDOWS\system32\isLang.dat deleted successfully.
File C:\WINDOWS\fastporn.dat deleted successfully.
File C:\WINDOWS\skin.dat deleted successfully.
File C:\WINDOWS\porn.dat deleted successfully.
File C:\WINDOWS\luv.dat deleted successfully.
File C:\WINDOWS\fface.xml deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err10.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err11.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err1F.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err21.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err29.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err2D.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err37.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err6.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err7.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err8.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\Err9.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrA.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrB.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrC.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrD.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrE.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\ErrF.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\tem2C.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\tem3A.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\WER20.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\WER26.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF1DE5.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF5462.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF5A8D.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF9749.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF9BFC.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DF9E04.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFA0B4.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB303.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB323.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB4A0.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFB739.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFBA11.tmp deleted successfully.
File C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp\~DFF037.tmp deleted successfully.
File C:\WINDOWS\Temp\z10.tmp deleted successfully.
File C:\WINDOWS\Temp\z11.tmp deleted successfully.
File C:\WINDOWS\Temp\zE.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Werde nun den Hijack starten und dir dann berichten.

Sooo, jetzt habe ich den Part mit dem Hijackthis hinter mich gebracht und die neu.bat Datei erstellt. Das Ergebnis:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14/10/1997 18:52 697 DirectAnimation Java Classes.osd
25/07/2002 17:13 24.576 dwusplay.dll
25/07/2002 17:13 196.608 dwusplay.exe
19/09/2003 14:22 299.008 isusweb.dll
20/01/2000 15:25 1.162 Microsoft XML Parser for Java.osd
29/12/2005 14:22 67.584 phoneaccess.dll
6 Datei(en) 589.635 Bytes
0 Verzeichnis(se), 8.037.646.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Dokumente und Einstellungen\sesimbra\Lokale Einstellungen\Temp

08/07/2006 15:46 <DIR> .
08/07/2006 15:46 <DIR> ..
31/08/2005 01:22 68.164.096 684c4.msi
08/07/2006 13:23 268 Err10.tmp
08/07/2006 14:09 268 Err11.tmp
07/07/2006 01:43 152 Err1F.tmp
07/07/2006 01:45 152 Err21.tmp
07/07/2006 01:51 152 Err29.tmp
07/07/2006 01:51 152 Err2D.tmp
07/07/2006 02:11 152 Err37.tmp
04/07/2006 20:35 268 Err6.tmp
05/07/2006 20:26 268 Err7.tmp
05/07/2006 23:46 268 Err8.tmp
04/07/2006 19:33 268 Err9.tmp
05/07/2006 19:40 268 ErrA.tmp
06/07/2006 17:03 268 ErrB.tmp
06/07/2006 18:02 268 ErrC.tmp
07/07/2006 00:27 268 ErrD.tmp
07/07/2006 01:32 268 ErrE.tmp
07/07/2006 18:15 268 ErrF.tmp
07/07/2006 04:17 <DIR> MessengerCache
08/07/2006 15:41 <DIR> msohtml
08/07/2006 15:41 <DIR> msohtml1
07/07/2006 01:51 0 tem2C.tmp
07/07/2006 02:11 0 tem3A.tmp
06/07/2006 04:08 693 TWAIN.LOG
06/07/2006 04:08 2 Twain001.Mtx
06/07/2006 04:08 156 Twunk001.MTX
06/07/2006 01:06 0 Twunk002.MTX
05/07/2006 22:50 0 WER20.tmp
05/07/2006 22:51 <DIR> WER20.tmp.dir00
07/07/2006 00:32 0 WER26.tmp
07/07/2006 00:32 <DIR> WER26.tmp.dir00
05/07/2006 21:22 <DIR> _avast4_
04/07/2006 19:31 65.536 ~DF1DE5.tmp
07/07/2006 00:35 65.536 ~DF5462.tmp
06/07/2006 01:04 65.536 ~DF5A8D.tmp
07/07/2006 01:26 65.536 ~DF9749.tmp
06/07/2006 17:56 65.536 ~DF9BFC.tmp
05/07/2006 19:34 65.536 ~DF9E04.tmp
06/07/2006 17:00 65.536 ~DFA0B4.tmp
08/07/2006 14:03 65.536 ~DFB303.tmp
05/07/2006 20:23 65.536 ~DFB323.tmp
07/07/2006 00:21 65.536 ~DFB4A0.tmp
07/07/2006 18:23 65.536 ~DFB739.tmp
04/07/2006 20:31 65.536 ~DFBA11.tmp
08/07/2006 13:22 65.536 ~DFF037.tmp
39 Datei(en) 69.020.891 Bytes
8 Verzeichnis(se), 8.037.642.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\WINDOWS\Temp

08/07/2006 15:04 <DIR> .
08/07/2006 15:04 <DIR> ..
08/07/2006 14:04 16.384 Perflib_Perfdata_100.dat
05/07/2006 23:43 16.384 Perflib_Perfdata_104.dat
04/07/2006 20:32 16.384 Perflib_Perfdata_10c.dat
07/07/2006 00:22 16.384 Perflib_Perfdata_110.dat
05/07/2006 20:24 16.384 Perflib_Perfdata_11c.dat
07/07/2006 01:28 16.384 Perflib_Perfdata_178.dat
04/07/2006 19:31 16.384 Perflib_Perfdata_17c.dat
06/07/2006 17:58 16.384 Perflib_Perfdata_184.dat
08/07/2006 13:21 16.384 Perflib_Perfdata_5d0.dat
06/07/2006 17:01 16.384 Perflib_Perfdata_e4.dat
05/07/2006 20:26 901 z10.tmp
06/07/2006 17:03 901 z11.tmp
04/07/2006 20:35 901 zE.tmp
08/07/2006 16:01 <DIR> _avast4_
13 Datei(en) 166.543 Bytes
3 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Temp

04/07/2006 18:21 <DIR> .
04/07/2006 18:21 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Programme

04/07/2006 18:18 <DIR> .
04/07/2006 18:18 <DIR> ..
02/07/2006 15:23 <DIR> a-squared
28/12/2005 03:54 <DIR> Adobe
23/10/2005 14:32 <DIR> Alwil Software
18/10/2005 13:32 <DIR> ArcSoft
04/07/2006 18:19 <DIR> CleanUp!
19/10/2005 07:00 <DIR> COMPAQ
25/09/2005 18:08 <DIR> ComPlus Applications
19/10/2005 07:06 <DIR> CONEXANT
18/10/2005 13:35 <DIR> CyberLink
31/12/2005 21:03 <DIR> Digital Video
18/10/2005 13:32 <DIR> DLA
02/07/2006 18:49 <DIR> fsupport
02/07/2006 13:46 <DIR> Gemeinsame Dateien
28/02/2006 20:42 <DIR> Google
02/07/2006 18:15 <DIR> Guardware
19/10/2005 14:43 <DIR> Hewlett-Packard
19/10/2005 07:10 <DIR> HP
28/06/2006 04:11 <DIR> HP CD-DVD
19/10/2005 07:17 <DIR> HPQ
08/07/2006 14:53 <DIR> Internet Explorer
19/10/2005 07:02 <DIR> InterVideo
26/12/2005 00:41 <DIR> KODAK
29/06/2006 06:17 <DIR> License_Manager
17/06/2006 17:48 <DIR> Macromedia
28/05/2006 15:10 <DIR> Messenger
25/09/2005 18:12 <DIR> microsoft frontpage
29/06/2006 04:04 <DIR> Microsoft Office
19/10/2005 13:33 <DIR> Microsoft.NET
28/05/2006 15:10 <DIR> Movie Maker
25/09/2005 18:07 <DIR> MSN
25/09/2005 18:06 <DIR> MSN Gaming Zone
27/06/2006 05:19 <DIR> MSN Messenger
27/05/2006 02:14 <DIR> NetMeeting
25/09/2005 18:07 <DIR> Online Services
25/09/2005 18:09 <DIR> Online-Dienste
01/06/2006 18:02 <DIR> Outlook Express
26/12/2005 00:42 <DIR> QuickTime
23/10/2005 22:22 <DIR> RecordNow
19/10/2005 07:18 <DIR> Roxio
28/05/2006 15:10 <DIR> Simple Backup
16/06/2006 00:35 <DIR> Skullbyte
26/05/2006 19:10 <DIR> Skype
19/10/2005 07:13 <DIR> Synaptics
01/06/2006 18:04 <DIR> Windows Media Player
25/09/2005 18:06 <DIR> Windows NT
25/09/2005 18:12 <DIR> xerox
28/05/2006 15:10 <DIR> Yahoo! Acesso Grtis
0 Datei(en) 0 Bytes
49 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Dokumente und Einstellungen\sesimbra\Anwendungsdaten

26/05/2006 19:24 <DIR> Adobe
16/06/2006 16:29 <DIR> AdobeUM
25/10/2005 02:57 <DIR> Corel
23/10/2005 15:58 <DIR> Google
21/12/2005 02:55 <DIR> Help
19/10/2005 14:57 <DIR> Hewlett-Packard
25/09/2005 19:00 <DIR> Identities
21/10/2005 21:26 <DIR> InterVideo
17/06/2006 21:54 <DIR> Macromedia
22/10/2005 15:07 <DIR> MSN6
08/07/2006 15:51 <DIR> Skype
21/10/2005 21:58 <DIR> VERITAS
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 8.037.638.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Programme\Gemeinsame Dateien

02/07/2006 13:46 <DIR> .
02/07/2006 13:46 <DIR> ..
19/10/2005 07:19 <DIR> Adaptec Shared
28/12/2005 03:39 <DIR> Adobe
04/05/2006 00:24 <DIR> DESIGNER
25/09/2005 18:08 <DIR> Dienste
19/10/2005 14:45 <DIR> Hewlett-Packard
25/10/2005 02:47 <DIR> InstallShield
26/12/2005 00:40 <DIR> Kodak
17/06/2006 17:50 <DIR> Macromedia
27/06/2006 05:20 <DIR> Microsoft Shared
25/09/2005 18:08 <DIR> MSSoap
25/09/2005 18:44 <DIR> ODBC
25/09/2005 18:44 <DIR> SpeechEngines
02/07/2006 13:46 <DIR> SWF Studio
01/06/2006 18:02 <DIR> System
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 8.037.634.048 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E9-31A6

Verzeichnis von C:\Programme\Guardware

02/07/2006 18:15 <DIR> .
02/07/2006 18:15 <DIR> ..
02/07/2006 18:15 <DIR> GWPUM
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 8.024.006.656 Bytes frei

Muss ich mir Sorgen machen, dass der kleine, sich drehende Avast-Buttom in der Schnellstartleiste nicht mehr erscheint?

Was mir auch aufgefallen ist: Ich habe in meiner Software Liste immer noch den Popcorn Licence Manager, der sich nicht loeschen laesst, sondern immer nur auf eine nicht ladbare Internetseite fuehrt, wenn ich ihn loeschen will. In der Liste ist Groesse mit 1650,0 MB! angegeben.

Ansonsten laeuft der PC aber schon gleich wieder viel schneller.


Viele Gruesse

Sesimbra72
Dieser Beitrag wurde am 08.07.2006 um 21:43 Uhr von sesimbra72 editiert.
Seitenanfang Seitenende
09.07.2006, 13:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
desinstalliere, loesche:
C:\Programme\Guardware

2.
fixe mit dem HijackThis:
O4 - HKCU\..\Run: [License Manager] "C:\Programme\License_Manager\license_manager.exe " /silent

3.
erstelle eine res.bat und poste den Text, der erscheint

Zitat

cd\
dir "C:\Programme\License_Manager" >>files.txt
notepad files.txt
4.
ueber den Avast-Buttom sprechen wir spaeter ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende