Home » Spyware & Browser Hijacker Support Forum » Habe Probleme mit Spyware Quake, komme mit anderen Anweisungen nicht klar! » Themenansicht
Habe Probleme mit Spyware Quake, komme mit anderen Anweisungen nicht klar!Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
07.07.2006, 01:01
Member
Beiträge: 15 |
||
 
|
|
|
|
07.07.2006, 02:01
Ehrenmitglied
 Beiträge: 29434 |
#2
0.
Vundofix abarbeiten http://virus-protect.org/artikel/tools/vundofixx.html 1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 2. smitfraudfix abarbeiten..lasse auch die Registry mit reinigen http://virus-protect.org/artikel/tools/smitfrautfix.html 3. C:\WINDOWS\TEMP\ --> komplett leeren 4. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 5. Dr.web http://virus-protect.org/cureit.html poste diesen scanreport 6. neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 7. dann versuche es noch einmal mit hijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.07.2006, 17:47
Member
Themenstarter Beiträge: 15 |
#3
Oh, danke erstmal für die schnelle Antwort.
Also, 0.) Vundofix is abgearbeitet 1.) Avenger auch gemacht 2.) bei SmidfraudFix war nix mit "wininet.dll"; auch nix mit blauer Bildschirm SmitFraudFix v2.68b Scan done at 15:09:31,87, 07.07.2006 Run from C:\Dokumente und Einstellungen\Nils\Eigene Dateien\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{7916f057-223f-4612-ac84-e882cbe043d4}"="bals" [HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32] @="C:\WINDOWS\System32\hvcycg.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32] @="C:\WINDOWS\System32\hvcycg.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\System32\hvcycg.dll -> Missing File »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\ld???.tmp Deleted C:\WINDOWS\system32\1024\ Deleted C:\DOKUME~1\Nils\FAVORI~1\Antivirus Test Online.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End 3.) Temp-Folder is geleert 4.) gemacht (auch wieder Häkchen rausgenommen) 5.) ============================================================================= Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.06080) Copyright (c) Igor Daniloff, 1992-2006 Bericht erstellt auf: 2006-07-07, 15:33:17 [BRUTUS][Nils] Kommandozeile: "C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini Betriebssystem:Windows XP Home Edition x86 (Build 2600), Service Pack 1 ============================================================================= Suchmodul Version: 4.33 (4.33.3.06020) API Version: 2.01 [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 969 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43342.cdb - 744 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43341.cdb - 841 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 142 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 283 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 773 Virus Einträge [Virus-Datenbank] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge Summe der Vireneinträge: 129174 Lizenzschlüssel: C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cureit.key Lizenzchlüssel-Nummer: 0000000010 Registriert für:: Dr.Web CureIt Project Lizenzschlüssel aktiviert!: 2005-03-05 Lizenzschlüssel wird ablaufen!: 2007-03-05 ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 0 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 0 Kb/s Dauer:: 00:00:00 ----------------------------------------------------------------------------- [Prüfpfad] C:\WINDOWS\System32\smss.exe [Prüfpfad] C:\WINDOWS\system32\csrss.exe [Prüfpfad] C:\WINDOWS\system32\winlogon.exe [Prüfpfad] C:\WINDOWS\system32\services.exe [Prüfpfad] C:\WINDOWS\system32\lsass.exe [Prüfpfad] C:\WINDOWS\system32\svchost.exe [Prüfpfad] C:\WINDOWS\system32\spoolsv.exe [Prüfpfad] C:\WINDOWS\System32\alg.exe [Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\sched.exe [Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [Prüfpfad] C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [Prüfpfad] C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [Prüfpfad] C:\WINDOWS\System32\wdfmgr.exe [Prüfpfad] C:\WINDOWS\Explorer.EXE [Prüfpfad] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [Prüfpfad] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe [Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [Prüfpfad] C:\WINDOWS\Dit.exe [Prüfpfad] C:\Programme\iTunes\iTunesHelper.exe [Prüfpfad] C:\Programme\QuickTime\qttask.exe [Prüfpfad] C:\WINDOWS\System32\ctfmon.exe [Prüfpfad] C:\Programme\NETGEAR\WG311v3\wlancfg5.exe [Prüfpfad] C:\Programme\iPod\bin\iPodService.exe [Prüfpfad] C:\WINDOWS\DitExp.exe [Prüfpfad] C:\WINDOWS\System32\wuauclt.exe [Prüfpfad] C:\Programme\Mozilla Firefox\firefox.exe [Prüfpfad] C:\WINDOWS\system32\NOTEPAD.EXE [Prüfpfad] C:\Dokumente und Einstellungen\Nils\Eigene Dateien\drweb-cureit.exe [Prüfpfad] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\_start.exe [Prüfpfad] C:\DOKUME~1\Nils\LOKALE~1\Temp\RarSFX0\cureit.exe [Prüfpfad] C:\WINDOWS\system32\NeroCheck.exe [Prüfpfad] C:\WINDOWS\system\cmicnfg.cpl [Prüfpfad] C:\Dokumente und Einstellungen\Nils\Startmenü\Programme\Autostart\desktop.ini [Prüfpfad] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini [Prüfpfad] C:\WINDOWS\Installer\{70014586-7BBA-4A92-A610-CDC896C48F8F}\NewShortcut1_1.exe [Prüfpfad] C:\WINDOWS\System32\mmsys.cpl [Prüfpfad] C:\WINDOWS\System32\icmui.dll [Prüfpfad] C:\WINDOWS\System32\rshx32.dll [Prüfpfad] C:\WINDOWS\System32\docprop.dll [Prüfpfad] C:\WINDOWS\System32\ntshrui.dll [Prüfpfad] C:\WINDOWS\System32\themeui.dll [Prüfpfad] C:\WINDOWS\System32\deskadp.dll [Prüfpfad] C:\WINDOWS\System32\deskmon.dll [Prüfpfad] C:\WINDOWS\System32\dssec.dll [Prüfpfad] C:\WINDOWS\System32\SlayerXP.dll [Prüfpfad] C:\WINDOWS\System32\shscrap.dll [Prüfpfad] C:\WINDOWS\System32\diskcopy.dll [Prüfpfad] C:\WINDOWS\System32\ntlanui2.dll [Prüfpfad] C:\WINDOWS\System32\printui.dll [Prüfpfad] C:\WINDOWS\System32\dskquoui.dll [Prüfpfad] C:\WINDOWS\System32\syncui.dll [Prüfpfad] C:\WINDOWS\System32\hticons.dll [Prüfpfad] C:\WINDOWS\System32\fontext.dll [Prüfpfad] C:\WINDOWS\System32\deskperf.dll [Prüfpfad] C:\WINDOWS\system32\cryptext.dll [Prüfpfad] C:\WINDOWS\system32\NETSHELL.dll [Prüfpfad] C:\WINDOWS\System32\wiashext.dll [Prüfpfad] C:\WINDOWS\System32\remotepg.dll [Prüfpfad] C:\WINDOWS\System32\wshext.dll [Prüfpfad] C:\Programme\Gemeinsame Dateien\System\Ole DB\oledb32.dll [Prüfpfad] C:\WINDOWS\System32\mstask.dll [Prüfpfad] C:\WINDOWS\system32\shdocvw.dll [Prüfpfad] C:\WINDOWS\System32\shmedia.dll [Prüfpfad] C:\WINDOWS\System32\browseui.dll [Prüfpfad] C:\WINDOWS\System32\sendmail.dll [Prüfpfad] C:\WINDOWS\System32\occache.dll [Prüfpfad] C:\WINDOWS\System32\webcheck.dll [Prüfpfad] C:\WINDOWS\System32\appwiz.cpl [Prüfpfad] C:\WINDOWS\System32\shimgvw.dll [Prüfpfad] C:\WINDOWS\System32\netplwiz.dll [Prüfpfad] C:\WINDOWS\System32\zipfldr.dll [Prüfpfad] C:\WINDOWS\System32\cdfview.dll [Prüfpfad] C:\WINDOWS\System32\msieftp.dll [Prüfpfad] C:\WINDOWS\System32\docprop2.dll [Prüfpfad] C:\WINDOWS\System32\dsquery.dll [Prüfpfad] C:\WINDOWS\System32\dsuiext.dll [Prüfpfad] C:\WINDOWS\System32\mydocs.dll [Prüfpfad] C:\WINDOWS\System32\cscui.dll [Prüfpfad] C:\WINDOWS\msagent\agentpsh.dll [Prüfpfad] C:\WINDOWS\System32\dfsshlex.dll [Prüfpfad] C:\WINDOWS\System32\photowiz.dll [Prüfpfad] C:\WINDOWS\System32\mmcshext.dll [Prüfpfad] C:\WINDOWS\System32\cabview.dll [Prüfpfad] C:\Programme\Outlook Express\wabfind.dll [Prüfpfad] C:\WINDOWS\System32\wmpshell.dll [Prüfpfad] C:\WINDOWS\system32\mscoree.dll [Prüfpfad] C:\Programme\Real\RealPlayer\rpshellext.dll [Prüfpfad] C:\WINDOWS\System32\wuaucpl.cpl [Prüfpfad] C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL [Prüfpfad] C:\Programme\ICQLite\ICQLiteShell.dll [Prüfpfad] C:\Programme\iTunes\iTunesMiniPlayer.dll [Prüfpfad] C:\PROGRA~1\MICROS~4\OFFICE11\MLSHEXT.DLL [Prüfpfad] C:\PROGRA~1\MICROS~4\OFFICE11\OLKFSTUB.DLL [Prüfpfad] C:\Programme\Microsoft Office\OFFICE11\msohev.dll [Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\shlext.dll [Prüfpfad] C:\WINDOWS\System32\Audiodev.dll [Prüfpfad] C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [Prüfpfad] C:\WINDOWS\System32\ddcyy.dll >C:\WINDOWS\System32\ddcyy.dll infiziert mit Trojan.Virtumod - wird nach dem Neustart desinfiziert [Prüfpfad] C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [Prüfpfad] C:\WINDOWS\system32\SHELL32.dll [Prüfpfad] C:\WINDOWS\System32\stobject.dll [Prüfpfad] C:\WINDOWS\System32\crypt32.dll [Prüfpfad] C:\WINDOWS\System32\cryptnet.dll [Prüfpfad] C:\WINDOWS\System32\cscdll.dll [Prüfpfad] C:\WINDOWS\System32\wlnotify.dll [Prüfpfad] C:\WINDOWS\System32\sclgntfy.dll [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ACPI.sys [Prüfpfad] C:\WINDOWS\system32\drivers\aec.sys [Prüfpfad] C:\WINDOWS\System32\drivers\afd.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\agp440.sys [Prüfpfad] c:\windows\system32\svchost.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\arp1394.sys [Prüfpfad] C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\asyncmac.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\atapi.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\atmarpc.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\audstub.sys [Prüfpfad] C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [Prüfpfad] C:\WINDOWS\SYSTEM32\drivers\avgntmgr.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\Cap7134.sys [Prüfpfad] C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [Prüfpfad] C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\cdrom.sys [Prüfpfad] C:\WINDOWS\system32\cisvc.exe [Prüfpfad] C:\WINDOWS\system32\clipsrv.exe [Prüfpfad] C:\WINDOWS\system32\drivers\cmuda.sys [Prüfpfad] c:\windows\system32\dllhost.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ctxc51.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ctxc52.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ctxc53.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\disk.sys [Prüfpfad] c:\windows\system32\dmadmin.exe [Prüfpfad] C:\WINDOWS\System32\drivers\dmboot.sys [Prüfpfad] C:\WINDOWS\System32\drivers\dmio.sys [Prüfpfad] C:\WINDOWS\System32\drivers\dmload.sys [Prüfpfad] C:\WINDOWS\system32\drivers\DMusic.sys [Prüfpfad] C:\WINDOWS\system32\drivers\drmkaud.sys [Prüfpfad] C:\WINDOWS\system32\fxssvc.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\fdc.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\fetnd5b.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\flpydisk.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ftdisk.sys [Prüfpfad] C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\msgpc.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\hidusb.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\i8042prt.sys [Prüfpfad] C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\imapi.sys [Prüfpfad] C:\WINDOWS\System32\imapi.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ipfltdrv.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ipinip.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ipnat.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ipsec.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\irenum.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\isapnp.sys [Prüfpfad] C:\WINDOWS\System32\Drivers\toywdm.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\kbdclass.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\kbdhid.sys [Prüfpfad] C:\WINDOWS\system32\drivers\kmixer.sys [Prüfpfad] C:\WINDOWS\System32\mnmsrvc.exe [Prüfpfad] C:\WINDOWS\system32\drivers\MODEMCSA.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\mohfilt.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\mouclass.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\mouhid.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\mrxdav.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\mrxsmb.sys [Prüfpfad] C:\WINDOWS\System32\msdtc.exe [Prüfpfad] c:\windows\system32\msiexec.exe [Prüfpfad] C:\WINDOWS\system32\drivers\MSKSSRV.sys [Prüfpfad] C:\WINDOWS\system32\drivers\MSPCLOCK.sys [Prüfpfad] C:\WINDOWS\system32\drivers\MSPQM.sys [Prüfpfad] C:\WINDOWS\system32\drivers\MSTEE.sys [Prüfpfad] C:\WINDOWS\system32\drivers\msmpu401.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\NdisIP.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ndistapi.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ndisuio.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ndiswan.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\netbios.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\netbt.sys [Prüfpfad] C:\WINDOWS\system32\netdde.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\nic1394.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\nwlnkflt.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\nwlnkfwd.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ohci1394.sys [Prüfpfad] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [Prüfpfad] C:\WINDOWS\System32\DRIVERS\parport.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\pci.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\pciide.sys [Prüfpfad] C:\WINDOWS\system32\drivers\pfc.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\PhTVTune.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\raspptp.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\processr.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\ptilink.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\rasacd.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\rasl2tp.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\raspppoe.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\raspti.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\rdbss.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\RDPCDD.sys [Prüfpfad] C:\WINDOWS\system32\sessmgr.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\redbook.sys [Prüfpfad] C:\WINDOWS\System32\locator.exe [Prüfpfad] C:\WINDOWS\System32\rsvp.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [Prüfpfad] C:\WINDOWS\System32\SCardSvr.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\secdrv.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\serenum.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\Seri*hier nicht!*.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\sfloppy.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\SLIP.sys [Prüfpfad] C:\WINDOWS\system32\drivers\splitter.sys [Prüfpfad] C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\sr.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\srv.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\StreamIP.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\swenum.sys [Prüfpfad] C:\WINDOWS\system32\drivers\swmidi.sys [Prüfpfad] C:\WINDOWS\system32\drivers\sysaudio.sys [Prüfpfad] C:\WINDOWS\system32\smlogsvc.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\tcpip.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\termdd.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\update.sys [Prüfpfad] C:\WINDOWS\System32\ups.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\usbccgp.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\usbehci.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\usbhub.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [Prüfpfad] C:\WINDOWS\System32\DRIVERS\usbuhci.sys [Prüfpfad] C:\WINDOWS\System32\drivers\vga.sys [Prüfpfad] C:\WINDOWS\System32\vssvc.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\WG311v3XP.sys [Prüfpfad] C:\WINDOWS\System32\DRIVERS\wanarp.sys [Prüfpfad] C:\WINDOWS\system32\drivers\wdmaud.sys [Prüfpfad] C:\WINDOWS\System32\wbem\wmiapsrv.exe [Prüfpfad] C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [Prüfpfad] C:\WINDOWS\System32\ntsd.exe ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 241 Infizierte Objekte gefunden: 1 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 1867 Kb/s Dauer:: 00:00:31 ----------------------------------------------------------------------------- [Prüfpfad] C:\ C:\hiberfil.sys - Lesefehler >C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\atmclk.exe.q_8042AA8_q infiziert mit Trojan.Popuper - gelöscht >C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\dcomcfg.exe.q_8041801_q\data001 infiziert mit Trojan.Popuper C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\dcomcfg.exe.q_8041801_q - Archiv enthält infizierte Objekte - verschoben C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\hp100.tmp.q_804B400_q infiziert mit Trojan.Popuper - gelöscht C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Nils\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\Nils\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\PARENT~1.LOC - Lesefehler >C:\Dokumente und Einstellungen\Nils\DoctorWeb\Quarantine\dcomcfg.exe.q_8041801_q\data001 infiziert mit Trojan.Popuper C:\Dokumente und Einstellungen\Nils\DoctorWeb\Quarantine\dcomcfg.exe.q_8041801_q - Archiv enthält infizierte Objekte - verschoben C:\Dokumente und Einstellungen\Nils\Eigene Dateien\SmitfraudFix\Process.exe ist ein Hacktool Tool.Prockill - ignoriert C:\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Programme\Derive5\DfW5Lang.dll infiziert mit einer Modifikation Win32.Bumblebee.3649 - verschoben C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP267\A0051978.dll infiziert mit einer Modifikation Win32.Bumblebee.3649 - verschoben >C:\VundoFix Backups\pmkhi.dll infiziert mit Trojan.Virtumod - gelöscht >C:\VundoFix Backups\tuvttrp.dll infiziert mit Trojan.Virtumod - gelöscht C:\WINDOWS\SoftwareDistribution\EventCache\{36499~1.BIN - Lesefehler >C:\WINDOWS\system32\ddcyy.dll infiziert mit Trojan.Virtumod - wird nach dem Neustart desinfiziert C:\WINDOWS\system32\Process.exe ist ein Hacktool Tool.Prockill - ignoriert C:\WINDOWS\system32\config\default - Lesefehler C:\WINDOWS\system32\config\default.LOG - Lesefehler C:\WINDOWS\system32\config\SAM - Lesefehler C:\WINDOWS\system32\config\SAM.LOG - Lesefehler C:\WINDOWS\system32\config\SECURITY - Lesefehler C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler C:\WINDOWS\system32\config\software - Lesefehler C:\WINDOWS\system32\config\software.LOG - Lesefehler C:\WINDOWS\system32\config\system - Lesefehler C:\WINDOWS\system32\config\system.LOG - Lesefehler [Prüfpfad] D:\ [Prüfpfad] E:\ ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 219398 Infizierte Objekte gefunden: 7 Objekte mit Modifikation gefunden: 2 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 4 Umbenannte Objekte: 0 Verschobene Objekte: 4 Ignorierte Objekte: 2 Leistung:: 889 Kb/s Dauer:: 01:08:21 ----------------------------------------------------------------------------- da stand außerdem am Ende als ich wieder zum PC bin "Abbruch durch Benutzer". Also ich hab den nur laufen lassen... 6.) is gemacht (auch wenn ich Firefox benutze) 7.) bei HJT leider immernoch dasselbe Problem ================================= Hab übrigens gerade gemerkt, dass der "Virus Alert!" aus meiner Task-Leiste verschwunden is! Und AntiVir findet auch bis jetz nix mehr. Vielen Dank schonmal dafür!! Sollte ich eigentlich das Log vom Avenger posten? __________ I'm my own kind of conformist Dieser Beitrag wurde am 07.07.2006 um 19:12 Uhr von Denk editiert.
|
|
|
|
|
|
|
07.07.2006, 20:13
Ehrenmitglied
Beiträge: 29434 |
#4
1.
das log von winpfind posten. http://virus-protect.org/winpfind.html 2. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\atmclk.exe.q_8042AA8_q<--loeschen C:\VundoFix Backups<--loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.07.2006, 21:29
Member
Themenstarter Beiträge: 15 |
#5
1.)
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600 Internet Explorer Version: 6.0.2800.1106 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 29.08.2002 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc FSG! 10.12.2003 15:36:10 236544 C:\WINDOWS\SYSTEM32\divxdec.ax PECompact2 09.03.2006 16:21:10 4799320 C:\WINDOWS\SYSTEM32\MRT.exe aspack 09.03.2006 16:21:10 4799320 C:\WINDOWS\SYSTEM32\MRT.exe Umonitor 29.08.2002 14:00:00 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll UPX! 27.04.2006 17:49:30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe UPX! 09.01.2006 10:36:04 42496 C:\WINDOWS\SYSTEM32\swreg.exe UPX! 09.01.2006 10:36:06 40960 C:\WINDOWS\SYSTEM32\swsc.exe winsync 29.08.2002 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 07.07.2006 20:42:04 S 2048 C:\WINDOWS\bootstat.dat 07.07.2006 20:43:46 H 54156 C:\WINDOWS\QTFont.qfn 14.06.2006 23:31:56 H 66704 C:\WINDOWS\Minidump\Mini061506-01.dmp 13.05.2006 15:29:06 H 1898547 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1cd55698539035385caf5b9c26164f04\download\BITA.tmp 07.07.2006 14:53:14 HS 623283 C:\WINDOWS\system32\yycdd.bak1 07.07.2006 14:53:14 HS 623283 C:\WINDOWS\system32\yycdd.ini 07.07.2006 21:18:20 HS 624750 C:\WINDOWS\system32\yycdd.ini2 07.07.2006 20:39:34 HS 624342 C:\WINDOWS\system32\yycdd.tmp 07.07.2006 20:43:12 H 1024 C:\WINDOWS\system32\config\default.LOG 07.07.2006 20:42:36 H 1024 C:\WINDOWS\system32\config\SAM.LOG 07.07.2006 20:52:16 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 07.07.2006 21:14:24 H 1024 C:\WINDOWS\system32\config\software.LOG 07.07.2006 20:43:06 H 1024 C:\WINDOWS\system32\config\system.LOG 13.05.2006 16:26:26 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\771eb063-854b-48ba-aee3-476ed71525b5 13.05.2006 16:26:26 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred 07.07.2006 20:42:10 H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 29.08.2002 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl Microsoft Corporation 29.05.2003 11:48:16 584704 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 29.08.2002 14:00:00 132096 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 29.08.2002 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 29.08.2002 14:00:00 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 29.08.2002 14:00:00 125440 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 29.08.2002 14:00:00 66560 C:\WINDOWS\SYSTEM32\joy.cpl Sun Microsystems, Inc. 10.11.2005 13:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl Microsoft Corporation 29.08.2002 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 29.08.2002 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 29.08.2002 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 29.08.2002 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 29.08.2002 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 29.08.2002 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 29.08.2002 14:00:00 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 29.08.2002 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 29.08.2002 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 29.08.2002 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl Microsoft Corporation 29.05.2003 11:48:16 584704 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl Microsoft Corporation 29.08.2002 14:00:00 132096 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl Microsoft Corporation 29.08.2002 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl Microsoft Corporation 29.08.2002 14:00:00 293376 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl Microsoft Corporation 29.08.2002 14:00:00 125440 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl Microsoft Corporation 29.08.2002 14:00:00 66560 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl Microsoft Corporation 29.08.2002 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 29.08.2002 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl Microsoft Corporation 29.08.2002 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 29.08.2002 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl Microsoft Corporation 29.08.2002 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl Microsoft Corporation 29.08.2002 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl Microsoft Corporation 29.08.2002 14:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl Microsoft Corporation 29.08.2002 14:00:00 272896 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl Microsoft Corporation 29.08.2002 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl Microsoft Corporation 29.08.2002 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 26.05.2004 17:01:48 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini 07.07.2006 20:42:44 2305 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG311v3 Wireless Assistant.lnk Checking files in %ALLUSERSPROFILE%\Application Data folder... 02.07.2006 16:04:18 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html 26.05.2004 17:57:44 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini Checking files in %USERPROFILE%\Startup folder... 26.05.2004 17:01:48 HS 84 C:\Dokumente und Einstellungen\Nils\Startmenü\Programme\Autostart\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 26.05.2004 17:57:44 HS 62 C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\desktop.ini 04.08.2005 16:49:56 76168 C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\GDIPFONTCACHEV1.DAT 07.07.2006 00:53:40 18716 C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\wklnhst.dat »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu {85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\InoShell {DCED20BE-3645-11D4-BC95-00C04F0E0588} = C:\Programme\CA\eTrust Antivirus\InoShell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu {85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\InoShell {DCED20BE-3645-11D4-BC95-00C04F0E0588} = C:\Programme\CA\eTrust Antivirus\InoShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3AF47F38-EECD-429A-AAFC-61FD17F06761} = C:\WINDOWS\System32\ddcyy.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} = C:\WINDOWS\system32\tuvttrp.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} SSVHelper Class = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{813D3F51-EC75-4A7E-9572-BC7A06B5D680} = C:\WINDOWS\System32\pmkhi.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FE54FA40-D68C-11d2-98FA-00C0F0318AFE} Real.com = C:\WINDOWS\System32\Shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {855F3B16-6D32-4fe6-8A56-BBB695989046} = ICQ Toolbar : C:\Programme\ICQToolbar\toolbaru.dll {8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263} ButtonText = Recherchieren : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9} ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} ButtonText = @shdoclc.dll,-866 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} ButtonText = Real.com : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683} ButtonText = Messenger : C:\Programme\Messenger\MSMSGS.EXE [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} Media Band = %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} Explorer-Band = %SystemRoot%\System32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ATIPTA C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min Dit Dit.exe Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd iTunesHelper "C:\Programme\iTunes\iTunesHelper.exe" QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ICQ Lite key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ICQLite hkey HKLM command "C:\Programme\ICQLite\ICQLite.exe" -minimize inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ICQLite hkey HKLM command "C:\Programme\ICQLite\ICQLite.exe" -minimize inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item iTunesHelper hkey HKLM command "C:\Programme\iTunes\iTunesHelper.exe" inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item iTunesHelper hkey HKLM command "C:\Programme\iTunes\iTunesHelper.exe" inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Works Update Detection key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item WkUFind hkey HKLM command C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item WkUFind hkey HKLM command C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSMSGS key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item msmsgs hkey HKCU command "C:\Programme\Messenger\msmsgs.exe" /background inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item msmsgs hkey HKCU command "C:\Programme\Messenger\msmsgs.exe" /background inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ogqewxz key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ??ool32 hkey HKCU command C:\WINDOWS\system32\??pPatch\??ool32.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ??ool32 hkey HKCU command C:\WINDOWS\system32\??pPatch\??ool32.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Rlos key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item notepad hkey HKCU command "C:\DOKUME~1\Nils\EIGENE~1\APPATC~1\notepad.exe" -vt yax inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item notepad hkey HKCU command "C:\DOKUME~1\Nils\EIGENE~1\APPATC~1\notepad.exe" -vt yax inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item realsched hkey HKLM command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item realsched hkey HKLM command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state system.ini 0 win.ini 0 bootini 0 services 0 startup 2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\PICSRules HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcyy = C:\WINDOWS\System32\ddcyy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winuns32 = winuns32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 07.07.2006 21:18:31 2.) Die Datei is gelöscht. War nen .ini-File, richtig, ne? Außerdem den Folder VundoFix Backups gelöscht. ================================== Ach, übrigens braucht mein Rechner in letzter Zeit manchmal auffällig lange zum Anmelden (Schirm "Benutzereinstellungen werden geladen"). Anschließend zeigt er dann nur den Desktophintergrund an und Desktopsymbole und Taskleiste bleiben weg. Da hilft dann nur rebooten. Hängt das mit nem Virus zusammen? Kann man da was machen? __________ I'm my own kind of conformist |
|
|
|
|
|
|
07.07.2006, 22:01
Ehrenmitglied
Beiträge: 29434 |
#6
1.
Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\notepad*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\??pPatch*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\??ool32*.*" > c:\find.txt & start notepad c:\find.txt ---------------------------------------------------------------------- 2. loesche mit dem avenger: Zitat Files to delete:-------------------------------------------------------------- 3. noch einmal: Vundofix abarbeiten -> ich moechte bitte den scanreport sehen http://virus-protect.org/artikel/tools/vundofixx.html ----------------------------------------------------------------- ist fuer mich: C:\WINDOWS\system32\??pPatch\??ool32.exe C:\DOKUME~1\Nils\EIGENE~1\APPATC~1\notepad.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcyy = C:\WINDOWS\System32\ddcyy.dll 07.07.2006 14:53:14 HS 623283 C:\WINDOWS\system32\yycdd.bak1 07.07.2006 14:53:14 HS 623283 C:\WINDOWS\system32\yycdd.ini 07.07.2006 21:18:20 HS 624750 C:\WINDOWS\system32\yycdd.ini2 07.07.2006 20:39:34 HS 624342 C:\WINDOWS\system32\yycdd.tmp [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] ----- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Rlos key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item notepad hkey HKCU command "C:\DOKUME~1\Nils\EIGENE~1\APPATC~1\notepad.exe" -vt yax inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item notepad hkey HKCU command "C:\DOKUME~1\Nils\EIGENE~1\APPATC~1\notepad.exe" -vt yax inimapping 0 --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ogqewxz key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ??ool32 hkey HKCU command C:\WINDOWS\system32\??pPatch\??ool32.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ??ool32 hkey HKCU command C:\WINDOWS\system32\??pPatch\??ool32.exe inimapping 0 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.07.2006, 01:08
Member
Themenstarter Beiträge: 15 |
#7
1.1)
Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: BCFF-2D3B Verzeichnis von c:\Dokumente und Einstellungen\Annette\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Default User\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Eltern\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Nils\Eigene Dateien\Eigene Bilder\Animated GIFs 12.04.2006 18:13 30.303 notepad.gif 1 Datei(en) 30.303 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Nils\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes 1.2) Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: BCFF-2D3B Verzeichnis von c:\Dokumente und Einstellungen\Annette\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Default User\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Eltern\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Nils\Eigene Dateien\Eigene Bilder\Animated GIFs 12.04.2006 18:13 30.303 notepad.gif 1 Datei(en) 30.303 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Nils\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes 1.3) Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: BCFF-2D3B Verzeichnis von c:\Dokumente und Einstellungen\Annette\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Default User\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Eltern\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Nils\Eigene Dateien\Eigene Bilder\Animated GIFs 12.04.2006 18:13 30.303 notepad.gif 1 Datei(en) 30.303 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Nils\SendTo 27.05.2004 08:04 459 Notepad - Texteditor.lnk 1 Datei(en) 459 Bytes 2.) Beim Avenger gab es leider zunächst einen Fehler: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 0 Error logged to errorlog.txt. Aborting now! Doch beim nächsten Versuch klappte es (nach löschen der vorherigen Avenger.txt) 3.) Vundofix sagt: No infected files were found __________ I'm my own kind of conformist |
|
|
|
|
|
|
08.07.2006, 01:35
Ehrenmitglied
Beiträge: 29434 |
#8
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\??pPatch*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\??ool32*.*" > c:\find.txt & start notepad c:\find.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.07.2006, 11:26
Member
Themenstarter Beiträge: 15 |
#9
Ok, sorry. Hatte was falsch gemacht; blöd...
---------------------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: BCFF-2D3B Verzeichnis von c:\WINDOWS 26.05.2004 18:59 <DIR> AppPatch 0 Datei(en) 0 Bytes Verzeichnis von c:\WINDOWS\system32 02.07.2006 16:25 <DIR> ??pPatch 0 Datei(en) 0 Bytes Anzahl der angezeigten Dateien: 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 14.965.395.456 Bytes frei ---------------------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: BCFF-2D3B (und in der Eingabeaufforderung sagt er mir "Datei nicht gefunden") __________ I'm my own kind of conformist |
|
|
|
|
|
|
08.07.2006, 13:36
Ehrenmitglied
Beiträge: 29434 |
#10
1.
Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html 2. gehe in die Registry Start -Ausfuehren - regedit arbeiten - suchen - (dann aus der Registry loeschen ! ) Ogqewxz Rlos vielleicht kannst du in der Registry genauer sehen, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Rlos "C:\DOKUME~1\Nils\EIGENE~1\APPATC~1\notepad.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ogqewxz C:\WINDOWS\system32\??pPatch\??ool32.exe was dann unter Windows geloescht werden muss PC neustarten 3. c:\WINDOWS\system32\....pPatch <--loeschen (achte auf das Datum ! ) 02.07.2006 16:25 <DIR> ??pPatch 0 Datei(en) 0 Bytes C:\Dokumente und Einstellungen\Nils\Eigene Dateien\APPATC....\ <--loeschen ----------------------------------------------------------------------- 4. scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.07.2006, 17:02
Member
Themenstarter Beiträge: 15 |
#11
1.
gemacht 2. gemacht 3.1 gemacht 3.2 konnt ich den Ordner nich finden. gab's einfach nich 4. --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 16:59:00 08.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Classes\WinRes.WindowsResources -> Adware.CoolWebSearch : Mit Backup gesäubert (unter Quarantäne gestellt). HKLM\SOFTWARE\Classes\WinRes.WindowsResources.1 -> Adware.CoolWebSearch : Mit Backup gesäubert (unter Quarantäne gestellt). HKLM\SOFTWARE\Classes\WinRes.WindowsResources\CLSID -> Adware.CoolWebSearch : Mit Backup gesäubert (unter Quarantäne gestellt). HKLM\SOFTWARE\Classes\WinRes.WindowsResources\CurVer -> Adware.CoolWebSearch : Mit Backup gesäubert (unter Quarantäne gestellt). C:\avenger\backup-08.07.2006- 0.56.18,25.zip/avenger/tuvttrp.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt). C:\avenger\backup-08.07.2006- 0.56.18,25.zip/avenger/simpole.tlb -> Downloader.Zlob.xj : Mit Backup gesäubert (unter Quarantäne gestellt). C:\avenger\backup-08.07.2006- 0.56.18,25.zip/avenger/hvcycg.dll -> Not-A-Virus.Hoax.Win32.Renos.dt : Ignoriert. :mozilla.23:C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert. :mozilla.25:C:\Dokumente und Einstellungen\Eltern\Anwendungsdaten\Mozilla\Firefox\Profiles\ane8w13i.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Nils\Cookies\nils@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert. edit ::Berichtende Einen Scan im abgesicherten Modus (Autostart überprüfen) hab ich jetz noch nich gemacht __________ I'm my own kind of conformist |
|
|
|
|
|
|
08.07.2006, 17:04
Ehrenmitglied
Beiträge: 29434 |
#12
1.
erstelle mal ein log vom HijackThis im abgesicherten modus, speicher es und poste es dann 2. C:\avenger\backup-08.07.2006- 0.56.18,25.zip-> loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.07.2006, 11:35
Member
Themenstarter Beiträge: 15 |
#13
1.)
Jo, super im abgesicherten Modus klappts... Logfile of HijackThis v1.99.1 Scan saved at 11:30:01, on 09.07.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Nils\Eigene Dateien\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\tuvttrp.dll (file missing) O2 - BHO: (no name) - {6EAFD454-6E98-4180-AAA5-D2C74B40842E} - C:\WINDOWS\System32\ddcyy.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {813D3F51-EC75-4A7E-9572-BC7A06B5D680} - C:\WINDOWS\System32\pmkhi.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {82DEF876-14E4-4CE5-9CA4-DE79A2EE46D2} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: O20 - Winlogon Notify: ddcyy - C:\WINDOWS\System32\ddcyy.dll (file missing) O20 - Winlogon Notify: winuns32 - winuns32.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe 2.) erledigt __________ I'm my own kind of conformist |
|
|
|
|
|
|
09.07.2006, 12:56
Ehrenmitglied
Beiträge: 29434 |
#14
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.comPC neustarten ** neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken. ** scanne mit panda und poste den report + das neue log vom hijackthis http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.07.2006, 17:48
Member
Themenstarter Beiträge: 15 |
#15
1.)
gab's am Anfang 'ne Fehlermeldung, doch dann den Rest gelöscht. 2.) auch erledigt 3.) Incident Status Location Adware:adware/ist.istbar Not disinfected Windows Registry Adware:adware/winres Not disinfected Windows Registry Adware:adware/ncase Not disinfected Windows Registry Spyware:spyware/virtumonde Not disinfected Windows Registry Adware:adware/cws Not disinfected Windows Registry Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.as-eu.falkag.net/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[as1.falkag.de/] Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.2o7.net/] Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.doubleclick.net/] Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.tradedoubler.com/] Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.mediaplex.com/] Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.tribalfusion.com/] Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.realmedia.com/] Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.atdmt.com/] Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\9cjgvur5.default\cookies.txt[.realmedia.com/] Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Nils\Cookies\nils@2o7[1].txt Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Nils\Cookies\nils@atwola[1].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Nils\Eigene Dateien\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe ================================== Logfile of HijackThis v1.99.1 Scan saved at 17:45:34, on 09.07.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Dit.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\NETGEAR\WG311v3\wlancfg5.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\DitExp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\iTunes\iTunes.exe C:\Dokumente und Einstellungen\Nils\Eigene Dateien\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {82DEF876-14E4-4CE5-9CA4-DE79A2EE46D2} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe (das hat jetz auch ohne abgesicherten Modus geklappt) __________ I'm my own kind of conformist Dieser Beitrag wurde am 09.07.2006 um 18:04 Uhr von Denk editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Volumeseriennummer: BCFF-2D3B
Verzeichnis von C:\WINDOWS\system32
07.07.2006 00:29 630.620 ihkmp.ini
06.07.2006 20:31 4.980 stdole3.tlb
06.07.2006 20:18 8.192 simpole.tlb
06.07.2006 19:43 16.832 amcompat.tlb
06.07.2006 19:43 23.392 nscompat.tlb
06.07.2006 13:38 627.869 ihkmp.bak2
05.07.2006 17:10 50.188 ld100.tmp
04.07.2006 11:20 594.184 ihkmp.bak1
04.07.2006 11:20 569.396 pmkhi.dll
02.07.2006 21:08 461.232 FNTCACHE.DAT
02.07.2006 16:01 2 wtsit.exe
02.07.2006 15:51 176.128 hvcycg.dll
02.07.2006 15:51 4.286 ot.ico
02.07.2006 15:51 4.286 ts.ico
02.07.2006 15:49 39.437 tuvttrp.dll
02.07.2006 15:49 18.432 winuns32.dll
02.07.2006 12:56 2.206 wpa.dbl
26.06.2006 10:43 21.840 SIntfNT.dll
26.06.2006 10:43 17.212 SIntf32.dll
26.06.2006 10:43 12.067 SIntf16.dll
08.06.2006 13:55 7.006 jupdate-1.5.0_06-b05.log
02.06.2006 11:04 57.384 avsda.dll
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
-----------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B
Verzeichnis von C:\DOKUME~1\Nils\LOKALE~1\Temp
07.07.2006 00:33 206 jusched.log
07.07.2006 00:32 512 ~DF772B.tmp
07.07.2006 00:32 512 ~DF7714.tmp
07.07.2006 00:32 15.360 ~WRS3406.tmp
07.07.2006 00:26 512 ~DF2619.tmp
07.07.2006 00:25 16.384 ~WRF0000.tmp
07.07.2006 00:25 512 ~DF79BA.tmp
7 Datei(en) 33.998 Bytes
0 Verzeichnis(se), 11.764.629.504 Bytes frei
-----------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B
Verzeichnis von C:\WINDOWS
07.07.2006 00:29 1.226.054 WindowsUpdate.log
07.07.2006 00:23 331.601 setupapi.log
07.07.2006 00:23 0 0.log
07.07.2006 00:23 3.900 ModemLog_Creatix V.9X data fax modem.txt
07.07.2006 00:22 159 wiadebug.log
07.07.2006 00:22 50 wiaservc.log
07.07.2006 00:22 32.626 SchedLgU.Txt
07.07.2006 00:22 2.048 bootstat.dat
06.07.2006 21:40 4.042 KB911280.log
06.07.2006 21:40 3.942 KB917344.log
06.07.2006 21:40 3.841 KB917953.log
06.07.2006 21:40 3.890 KB914389.log
06.07.2006 21:20 227 system.ini
06.07.2006 21:20 1.090 win.ini
06.07.2006 20:19 275.967 wmsetup.log
06.07.2006 19:46 378 wmsetup10.log
06.07.2006 19:42 316.640 WMSysPr9.prx
03.07.2006 21:03 121 GEARInstall.log
02.07.2006 19:00 80.528 iis6.log
02.07.2006 19:00 179.624 comsetup.log
02.07.2006 19:00 1.355 imsins.log
02.07.2006 19:00 204.842 tsoc.log
02.07.2006 19:00 7.115 KB833407.log
02.07.2006 19:00 108.109 ntdtcsetup.log
02.07.2006 19:00 18.356 ocmsn.log
02.07.2006 19:00 25.467 msgsocm.log
02.07.2006 19:00 271.115 ocgen.log
02.07.2006 19:00 523.277 FaxSetup.log
02.07.2006 18:59 1.355 imsins.BAK
02.07.2006 18:59 16.971 KB908531.log
02.07.2006 18:59 18.980 updspapi.log
02.07.2006 18:58 14.317 KB913580.log
02.07.2006 16:22 507 capella.ini
02.07.2006 16:11 57 vb.ini
02.07.2006 16:11 37 vbaddin.ini
02.07.2006 16:11 9 WINHLP32.INI
02.07.2006 16:11 9 WINHELP.INI
01.07.2006 05:05 442.234 DirectX.log
01.07.2006 05:01 272 game.ini
30.06.2006 21:46 1.880 eReg.dat
30.06.2006 20:55 773 CoD.INI
26.06.2006 10:18 162 NeroDigital.ini
16.06.2006 09:44 110 cdplayer.ini
08.06.2006 14:00 3.569 mozver.dat
30.05.2006 15:26 12.987 KB911562.log
30.05.2006 15:26 6.244 KB912812-IE6SP1-20060322.182418.log
30.05.2006 15:25 5.638 KB911567-OE6SP1-20060316.165634.log
28.05.2006 21:41 1.066 ODBC.INI
01.04.2006 01:33 923 spupdsvc.log
01.04.2006 01:31 44.911 KB899587.log
01.04.2006 01:31 44.011 KB896422.log
01.04.2006 01:31 46.467 KB885835.log
01.04.2006 01:30 42.392 KB885836.log
01.04.2006 01:30 43.228 KB911927.log
01.04.2006 01:30 41.331 KB901017.log
01.04.2006 01:29 6.007 xpsp1hfm.log
01.04.2006 01:29 34.253 KB839645.log
01.04.2006 01:29 41.807 KB899591.log
01.04.2006 01:29 41.809 KB896424.log
01.04.2006 01:28 42.074 KB893756.log
01.04.2006 01:28 39.851 KB896423.log
01.04.2006 01:27 39.218 KB873339.log
01.04.2006 01:27 31.486 KB885626.log
01.04.2006 01:27 32.952 KB914798.log
01.04.2006 01:27 39.278 KB888113.log
01.04.2006 01:26 39.059 KB840987.log
01.04.2006 01:26 30.755 KB833987.log
01.04.2006 01:25 37.635 KB887472.log
01.04.2006 01:25 39.323 KB896358.log
01.04.2006 01:25 33.486 KB910437.log
01.04.2006 01:24 28.568 KB898458.log
01.04.2006 01:24 34.683 KB905495.log
01.04.2006 01:24 34.379 KB873376.log
01.04.2006 01:24 32.014 KB911564.log
01.04.2006 01:23 41.510 KB902400.log
01.04.2006 01:23 30.010 KB891781.log
01.04.2006 01:22 30.938 KB890046.log
01.04.2006 01:22 23.623 KB904706.log
01.04.2006 01:22 29.477 KB841356.log
01.04.2006 01:21 29.953 KB905414.log
01.04.2006 01:21 26.105 KB841533.log
01.04.2006 01:21 29.112 KB901214.log
01.04.2006 01:20 28.682 KB885250.log
01.04.2006 01:20 17.666 KB905915-IE6SP1-20051122.175908.log
01.04.2006 01:20 21.597 KB888302.log
01.04.2006 01:19 22.866 KB900725.log
01.04.2006 01:19 17.006 KB912919.log
01.04.2006 01:19 13.201 KB871250.log
01.04.2006 01:18 16.983 KB905749.log
01.04.2006 01:18 15.912 KB896428.log
01.04.2006 01:15 12.909 KB835409.log
01.04.2006 01:15 10.346 KB911565.log
01.04.2006 01:14 16.253 KB908519.log
01.04.2006 01:14 12.243 KB913446.log
01.04.2006 01:14 19.288 KB890859.log
01.04.2006 01:14 12.236 KB841873.log
-----------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: BCFF-2D3B
Verzeichnis von C:\
07.07.2006 00:38 0 sys.txt
07.07.2006 00:36 13.044 system.txt
07.07.2006 00:34 578 systemtemp.txt
07.07.2006 00:29 97.890 system32.txt
07.07.2006 00:22 536.399.872 hiberfil.sys
07.07.2006 00:22 805.306.368 pagefile.sys
06.07.2006 21:20 194 boot.ini
26.06.2006 22:59 0 logwmemory.bin
///////////////////////////////////////////////
Hi, ich hab’s leider nich hinbekommen ein HijackThis-Log zu kopieren/speichern. Bei einem Klick auf „Save log“ schließt sich nur HJT und der Editor bleibt zu. Vll kann mir da erstmal jemand helfen? Bitte.
Ansonsten hoffe ich, ich hab alles soweit den Anleitungen gemäß ausgeführt. CleanUp ist ausgeführt. Zunächst einmal will ich gesagt haben, dass ich was PC-Fragen betrifft nicht komplett ungebildet bin, allerdings auf dem Gebiet von Viren und besonders der Registry noch nicht sehr viele Erfahrungen habe.
Also, was mein Problem ist: Ich habe im Netz schon (besonders in diesem Forum) von vielen anderen Leuten gelesen, die anscheinend dasselbe Virus hatten. Doch ich habe mittlerweile bei so vielen Meldungen die Übersicht verloren, und weiß nicht welchen Weg ich gehen soll. Außerdem sind die „Behandlungswege“ ja meist individuell auf den Betroffenen abgestimmt und da bin ich mir nicht so sicher, wie gut das wäre, wenn ich einfach einen solchen Weg befolgen würde. Außerdem hab ich halt manche der Ratschläge einfach nicht verstanden. Würde aber gerne dazu lernen.
Konkret zum Virus: AntiVir PersonalEdition Classic findet bei mir alle paar Minuten immer dasselbe: das Trojanische Pferd TR/Dialer.PZ.3 in der Datei bgates[1].exe (Pfad „C:\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PNO1QGS\“). Egal was ich ihm dann auch sage, ob löschen, Zugriff verweigern oder was auch immer, anschließend findet er immer sofort eine andere Datei mit demselben Trojaner im Verzeichnis C:\WINDOWS\TEMP\. Diese heißt dann „winxxx.tmp“ (xxx ändert sich andauernd). Nach einigen Minuten kommt dasselbe wieder. Außerdem befindet sich neben der Uhr in der Taskleiste ein Icon (wechselnd roter Kreis mit Strich durch und blaues Hilfe-Fragezeichen), bei dem sobald ich mit dem Mauszeiger drüberfahre „Virus Alert!“ angezeigt wird. Ein Klick darauf zeigt eine Meldung, die auch so in mehreren Minuten Abstand immer wieder auftaucht: „Your computer is infected!“ und noch einiges darunter.
Bei einem Klick auf die oben beschriebene Meldung werde ich zu spywarequake.com geleitet, der HP einer unseriösen „Security Software“. Außerdem traten (bis vor kurzem, dazu mehr im übernächsten Abschnitt) von Zeit zu Zeit immer nervige Pop-Ups von so genannten „Security Softwares“, einem Online-Casino, oder Sex-Seiten in einem Fenster des IE auf (dabei benutze ich Firefox). Das hat mich besonders beim Spielen genervt. Des Weiteren tauchten ab und zu „Fehlermeldungen“ auf, die mir mitteilten, dass ich ein Virus habe und mich auf Seiten mit Anti-Virus Software verwiesen.
Außerdem hatte ich kurz nachdem ich (bzw. ein Freund von mir) mir dieses Virus eingefangen habe zwei Programme auf meinem PC installiert, das eine glaube ich Spyware Quake und das andere mit so nem seltsamen Namen. Beide habe ich umgehend deinstalliert. Noch dazu hatten sich auf meinem Desktop vier Verknüpfungen angesiedelt, die mich auf seltsame Internet-Seiten leiteten. Die habe ich auch sofort gelöscht (das funktionierte auch soweit alles).
Dank einer Testversion des "Security Task Managers" (von der ich allerdings nicht genau weiß, wie lange sie noch gültig ist) habe ich schon einige Symptome bekämpfen können (Dateien in Quarantäne verschoben). So tauchen z.B. keine nervigen Pop-Ups mehr auf und auch die Fehlermeldung öffnet sich nicht mehr (so kann ich also schon wieder in Ruhe zocken). Doch selbstverständlich nervt mich noch die Gewissheit, dass irgendwo auf meinem Rechner ein Virus steckt, und das will ich natürlich loswerden. Sei es nun ein Trojaner oder ein Wurm. Außerdem sind natürlich die ständigen Funde von AntiVir und die Meldung unten-rechts neben der Uhr ziemlich nervtötend.
Ach, und bitte informiert mich, falls ich zu persönliche Daten mit diesen Scripts veröffentlicht habe (bzw. in Zukunft werde). Ich kenne mich ja noch nicht so gut mit dem ganzen Zeugs aus, bin aber dennoch sehr Datenschutz bewusst.
So, ich hoffe dieser Text war nicht all zu lang für euch, ich will euch das Ganze ja nur möglichst genau schildern (wie ja auch erwünscht). Vielen, vielen Dank schon mal im Voraus. Bitte helft! Denk
__________
I'm my own kind of conformist