Habe einen diggen Winlogon.exe Virus eingefangen ^^

#1 Muss des hier ja nei posten so wie ich das in den anderen Threads sehe...


Logfile of HijackThis v1.99.1
Scan saved at 20:37:54, on 10.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
F:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
F:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Mike\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HydraVisionViewport] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Glass2k] G:\Programme\Software zum Heft\Vista_Betatest\Glass2k.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "F:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "F:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\Spyware Doctor\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133377034677
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\WINDOWS\system32\zlara.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 also des einzige was ich mich frage ist wo ich das einfügen soll?

#4 ... na am besten hier am Board, sonst braucht Sabina so ne starke Brille
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C74-159C

Verzeichnis von C:\WINDOWS\system32

10.07.2006 22:40 0 dfhkj.tmp
10.07.2006 22:40 579.821 dfhkj.ini
10.07.2006 22:37 54.113 vsconfig.xml
10.07.2006 22:36 48.002 ikhcore.log
10.07.2006 21:37 579.818 dfhkj.bak2
10.07.2006 18:20 8.704 simpole.tlb
10.07.2006 18:20 49.152 hp100.tmp
10.07.2006 12:18 4.980 stdole3.tlb
10.07.2006 11:48 580.143 dfhkj.ini2
10.07.2006 09:37 579.424 dfhkj.bak1
10.07.2006 09:37 569.396 jkhfd.dll
10.07.2006 09:31 66.576 ld100.tmp
10.07.2006 09:21 243.128 FNTCACHE.DAT
09.07.2006 17:24 4.286 ot.ico
09.07.2006 17:24 76.288 dcomcfg.exe
09.07.2006 17:21 39.437 byxvurp.dll
09.07.2006 17:21 18.432 winrzf32.dll
09.07.2006 12:45 98.304 CmdLineExt.dll
29.06.2006 06:41 4.212 zllictbl.dat
27.06.2006 06:45 749 cdplayer.exe.manifest
27.06.2006 06:45 749 wuaucpl.cpl.manifest
27.06.2006 06:45 749 sapi.cpl.manifest
27.06.2006 06:45 749 nwc.cpl.manifest
27.06.2006 06:45 749 ncpa.cpl.manifest
26.06.2006 12:32 4.096 crash


das was oben angegeben und rot makiert wurde soll ich mit hijackthis entfernen?

#6 du fragst zuviel und arbeitest nicht korrekt....es sind 4 logs in der datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ja sry... bin aber ein newb auf dem gebiet.. und dummer kaspersky nervt die ganze zeit wegen den viren...

#8 poste noch die restlichen drei logs, dann kommt noch mehr...erst wenn ich alle daten habe, beginnt die reinigung
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Verzeichnis von C:\DOKUME~1\Mike\LOKALE~1\Temp

10.07.2006 22:43 16.384 Perflib_Perfdata_5e4.dat
10.07.2006 22:40 16.384 Perflib_Perfdata_968.dat
10.07.2006 22:38 16.384 Perflib_Perfdata_8d0.dat
10.07.2006 22:38 16.384 Perflib_Perfdata_940.dat
10.07.2006 22:07 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}25472.html
10.07.2006 21:49 16.384 ~DF4C23.tmp
10.07.2006 21:49 16.384 ~DF4BD3.tmp
10.07.2006 21:49 16.384 ~DF4B8A.tmp
10.07.2006 21:49 16.384 ~DF4B42.tmp
10.07.2006 21:49 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15572.html
10.07.2006 18:47 16.384 ~DFB152.tmp
10.07.2006 18:47 16.384 ~DF9A38.tmp
10.07.2006 13:57 1.296 wmplog00.sqm
10.07.2006 12:36 16.384 Perflib_Perfdata_1ac.dat
10.07.2006 12:34 0 aax5E.tmp
10.07.2006 12:33 0 aax59.tmp
10.07.2006 12:33 0 aax49.tmp
10.07.2006 12:32 0 aax48.tmp
10.07.2006 12:32 16.384 Perflib_Perfdata_9ac.dat
10.07.2006 12:32 16.384 Perflib_Perfdata_b88.dat
10.07.2006 11:41 16.384 Perflib_Perfdata_9c4.dat
10.07.2006 11:41 16.384 Perflib_Perfdata_8cc.dat
10.07.2006 11:37 32.768 PlugIt.exe
10.07.2006 11:37 49.152 NPMgWrap.dll
10.07.2006 09:50 1.355 197-www.torrent.to...[TBox]McAfeeVirusScanv10.torrent
10.07.2006 09:48 19.671 197-www.torrent.to...[TBox]McAfeeAIO2006-Full.torrent
10.07.2006 09:31 16.384 Perflib_Perfdata_854.dat
10.07.2006 09:31 16.384 Perflib_Perfdata_5dc.dat
09.07.2006 21:50 16.384 Perflib_Perfdata_330.dat
09.07.2006 21:45 16.384 Perflib_Perfdata_584.dat
09.07.2006 21:44 16.384 Perflib_Perfdata_720.dat
09.07.2006 21:39 16.384 Perflib_Perfdata_4c8.dat
09.07.2006 21:38 16.384 Perflib_Perfdata_588.dat
09.07.2006 21:29 16.384 Perflib_Perfdata_670.dat
09.07.2006 21:29 16.384 Perflib_Perfdata_734.dat
09.07.2006 17:22 175 mst1C.bat
09.07.2006 17:22 0 win2D.tmp
09.07.2006 17:22 0 win2C.tmp
09.07.2006 17:22 0 win2B.tmp
09.07.2006 17:22 0 win2A.tmp
09.07.2006 17:22 0 win29.tmp
09.07.2006 17:22 0 win28.tmp
09.07.2006 17:22 0 win25.tmp
09.07.2006 17:22 310.482 win24.tmp.exe
09.07.2006 17:21 43 removalfile.bat
09.07.2006 17:21 0 win23.tmp
09.07.2006 17:21 0 win21.tmp
09.07.2006 17:21 0 win1F.tmp
09.07.2006 17:21 0 win1E.tmp
09.07.2006 17:21 915 win1D.tmp
09.07.2006 14:10 16.384 ~DFD712.tmp
09.07.2006 14:09 16.384 ~DFB6B8.tmp
09.07.2006 14:09 512 ~DFB6EA.tmp
09.07.2006 12:45 4.592 temp.ani
09.07.2006 11:18 4.592 SIntfIcn.ani
09.07.2006 11:18 24.744 SIntfNT.dll
09.07.2006 11:18 20.016 SIntf32.dll
09.07.2006 11:18 12.305 SIntf16.dll
09.07.2006 09:41 0 fla43.tmp
09.07.2006 07:57 16.384 Perflib_Perfdata_7e8.dat
09.07.2006 07:30 16.384 Perflib_Perfdata_2dc.dat
09.07.2006 07:30 16.384 Perflib_Perfdata_4a0.dat
08.07.2006 11:03 16.384 Perflib_Perfdata_5d8.dat
07.07.2006 21:11 0 fla28.tmp
07.07.2006 20:36 0 fla17.tmp
07.07.2006 20:36 0 fla15.tmp
07.07.2006 19:49 4.128 miunst_.exe
07.07.2006 19:41 16.384 ~DFAE68.tmp
07.07.2006 19:41 16.384 ~DF937C.tmp
07.07.2006 19:05 16.384 ~DF660F.tmp
07.07.2006 19:05 512 ~DF5E87.tmp
07.07.2006 19:05 16.384 ~DF5E65.tmp
07.07.2006 19:03 16.384 Perflib_Perfdata_27c.dat
07.07.2006 19:03 16.384 Perflib_Perfdata_314.dat
07.07.2006 18:23 16.384 Perflib_Perfdata_194.dat
07.07.2006 18:04 16.384 Perflib_Perfdata_17c.dat
07.07.2006 18:04 16.384 Perflib_Perfdata_2d4.dat
07.07.2006 16:34 16.384 ~DF7C42.tmp
07.07.2006 16:34 16.384 ~DF6AE7.tmp
07.07.2006 14:36 217.322 MSI74037.LOG
07.07.2006 14:29 16.384 Perflib_Perfdata_228.dat
07.07.2006 14:29 16.384 Perflib_Perfdata_514.dat
07.07.2006 13:19 1.248 java_install_reg.log
07.07.2006 09:32 16.384 ~DF9C87.tmp
07.07.2006 09:32 16.384 ~DF8B80.tmp
07.07.2006 03:58 115 DFC5A2B2.TMP
06.07.2006 21:33 90.112 ~33.tmp
06.07.2006 21:29 16.384 Perflib_Perfdata_1a8.dat
06.07.2006 21:29 16.384 Perflib_Perfdata_258.dat
06.07.2006 19:29 63.032 Standard20.fxV2_Q20_MESH_STANDARD_BLEND_SPECULAR_REFLECTION_ILLUMINATION_SCROLL


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C74-159C

Verzeichnis von C:\WINDOWS

10.07.2006 22:46 1.045.496 setupapi.log
10.07.2006 22:45 116 NeroDigital.ini
10.07.2006 22:43 159 wiadebug.log
10.07.2006 22:43 50 wiaservc.log
10.07.2006 22:38 22 FLASHKSK.INI
10.07.2006 22:37 2.048 bootstat.dat
10.07.2006 22:36 32.570 SchedLgU.Txt
10.07.2006 22:36 1.864.373 WindowsUpdate.log
10.07.2006 18:53 54.156 QTFont.qfn
10.07.2006 11:37 6.001 mozver.dat
09.07.2006 18:16 1.409 QTFont.for
08.07.2006 19:13 339 CoDUO.INI
08.07.2006 18:54 745 CoD.INI
08.07.2006 18:48 192 winamp.ini
04.07.2006 10:54 287 sripper.ini
04.07.2006 10:54 51 StreamRipper32.INI
01.07.2006 17:19 255.689 DirectX.log
30.06.2006 20:44 23 BlendSettings.ini
29.06.2006 17:22 760 icssys.log
27.06.2006 06:45 749 WindowsShell.Manifest
20.06.2006 11:55 80.492 wmsetup.log
19.06.2006 15:08 64.154 spupdsvc.log
19.06.2006 11:55 527 wmsetup10.log
19.06.2006 11:55 57.847 iis6.log
19.06.2006 11:55 81.312 ntdtcsetup.log
19.06.2006 11:55 135.486 comsetup.log
19.06.2006 11:55 146.733 tsoc.log
19.06.2006 11:55 21.102 ocmsn.log
19.06.2006 11:55 1.374 imsins.log
19.06.2006 11:55 16.827 wmp11.log
19.06.2006 11:54 193.045 ocgen.log
19.06.2006 11:54 18.931 msgsocm.log
19.06.2006 11:54 372.013 FaxSetup.log
19.06.2006 11:52 12.526 Wudf01000Inst.log
19.06.2006 11:51 19.334 WMFDist11.log
19.06.2006 11:51 316.640 WMSysPr9.prx
19.06.2006 11:51 21.964 updspapi.log
19.06.2006 11:29 743 win.ini
19.06.2006 11:29 743 win.tmp
15.06.2006 10:03 12.884 KB917734.log
15.06.2006 10:02 14.732 KB918439.log
15.06.2006 10:02 15.093 KB917344.log
15.06.2006 10:02 14.868 KB917953.log
15.06.2006 10:02 14.844 KB911280.log
15.06.2006 10:02 18.022 KB916281.log
15.06.2006 10:02 11.507 KB914389.log
09.06.2006 13:41 286 game.ini
07.06.2006 17:49 284 lgfwup.ini
07.06.2006 15:21 19.157 WgaNotify.log
07.06.2006 15:19 23.680 KB913580.log
07.06.2006 15:19 24.086 KB908531.log
07.06.2006 15:19 23.654 KB900485.log
07.06.2006 15:18 22.045 KB911565.log
07.06.2006 15:17 22.655 KB911562.log
07.06.2006 15:17 24.434 KB912812.log
07.06.2006 15:16 16.823 KB911567.log
07.06.2006 15:11 7.985 WGA.log
07.06.2006 14:27 26 ATICIM.MIF
07.06.2006 14:26 17.742 dasetup.log
07.06.2006 14:09 10 WININIT.INI
25.05.2006 15:48 2.359.350 darkportal-1024x.bmp
21.05.2006 20:46 597 KB913446Uninst.log
21.05.2006 12:09 976 eReg.dat
16.05.2006 12:14 140 accessdll.log
03.05.2006 06:38 331 lexstat.ini
02.05.2006 13:55 1.775 discwriter.log
02.05.2006 13:55 0 OrangeBurn.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C74-159C

Verzeichnis von C:\

10.07.2006 22:59 0 sys.txt
10.07.2006 22:58 9.513 system.txt
10.07.2006 22:58 24.285 systemtemp.txt
10.07.2006 22:57 101.821 system32.txt
10.07.2006 22:36 805.306.368 pagefile.sys
29.05.2006 10:35 0 DBS.TXT
20.05.2006 10:18 17 gputest.txt
05.05.2006 19:08 160 TO_InstallLog.txt
01.05.2006 00:06 458 memory.txt
30.11.2005 08:18 185 temp.log
30.11.2005 08:16 544 pnpID.dat
30.11.2005 08:16 39 CTJINI.INI
29.11.2005 21:42 0 CONFIG.SYS
29.11.2005 21:42 0 IO.SYS
29.11.2005 21:42 0 AUTOEXEC.BAT
29.11.2005 21:42 0 MSDOS.SYS
16 Datei(en) 805.443.390 Bytes
0 Verzeichnis(se), 2.578.415.616 Bytes frei

so 4 logs... ^^

#10 1.
Cleanup, dann Rechner neustarten !
http://virus-protect.org/cleanup.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#11 so hab genau das gemacht was du gesagt hast... hab Editor geöffnet, Speichern unter... listen.bat, alle dateien... codierung gibt es 4 verschiedene bei mir.. ich habe alle 4 ausprobiert... bei ANSI kam folgendes problem:
C:\Dokumente und Einstellungen\Mike\Desktop\listen.bat ist keine zulässige Win32-Anwendung.

was nu? bei den anderen 3 hat sich nur ein fenster kurz geöffnet und schloss sich sofort

#12 1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger anwenden
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

C:\WINDOWS\system32\dfhkj.tmp
C:\WINDOWS\system32\dfhkj.ini
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\dfhkj.bak2
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\dfhkj.ini2
C:\WINDOWS\system32\dfhkj.bak1
C:\WINDOWS\system32\jkhfd.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\byxvurp.dll
C:\WINDOWS\system32\winrzf32.dll
C:\WINDOWS\system32\zlara.dll
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax5E.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax59.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax49.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax48.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\mst1C.bat
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2D.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2C.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2B.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2A.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win29.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win28.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win25.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win24.tmp.exe
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\removalfile.bat
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win23.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win21.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win1F.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win1E.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win1D.tmp
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\miunst_.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das Log vom Avenger, was erscheint

**
smitfraudfix genau nach Anleitung abarbeiten (poste dann die scanreporte von Option 1 und 2) ...lasse auch die Registry mitreinigen !
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
http://virus-protect.org/zip/liste.zip -> entpacken -> liste.bat -> doppeltklicken, der Texteditor wird sich oeffnen -> poste den Text


«
__________
MfG Sabina

rund um die PC-Sicherheit

#13 so ich bin bis zum Hijackthis gekommen den ich versteh folgenden begriff net...
vor die Malware-Einträge Häkchen setzen ?

#14 niemand hat vom HijackTHis gesprochen ... bist du so... oder tust du nur so ???
__________
MfG Sabina

rund um die PC-Sicherheit

#15 aso... -.- natürlich tuh ich net so nur da stand des eben in der anleitung bei vundofixx... aber wenn man was falsch versteht und vorher was dummes tut am besten den spezialisten fragen... findest du nicht? wende wüsstest wie die derzeitige situation in meiner familie is und was für probleme ich in letzter zeit hab dan könntest es vllt verstehen... ich geb mir also mühe damit ich den virus aus meinem rechner bekomme, hier die logfiles von avenger :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oq^whwbt

*******************

Script file located at: \??\C:\punyokkl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\dfhkj.tmp not found!
Deletion of file C:\WINDOWS\system32\dfhkj.tmp failed!

Could not process line:
C:\WINDOWS\system32\dfhkj.tmp
Status: 0xc0000034

File C:\WINDOWS\system32\dfhkj.ini deleted successfully.
File C:\WINDOWS\system32\vsconfig.xml deleted successfully.
File C:\WINDOWS\system32\ikhcore.log deleted successfully.
File C:\WINDOWS\system32\dfhkj.bak2 deleted successfully.


File C:\WINDOWS\system32\simpole.tlb not found!
Deletion of file C:\WINDOWS\system32\simpole.tlb failed!

Could not process line:
C:\WINDOWS\system32\simpole.tlb
Status: 0xc0000034

File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\dfhkj.ini2 deleted successfully.
File C:\WINDOWS\system32\dfhkj.bak1 deleted successfully.
File C:\WINDOWS\system32\jkhfd.dll deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.


File C:\WINDOWS\system32\dcomcfg.exe not found!
Deletion of file C:\WINDOWS\system32\dcomcfg.exe failed!

Could not process line:
C:\WINDOWS\system32\dcomcfg.exe
Status: 0xc0000034

File C:\WINDOWS\system32\byxvurp.dll deleted successfully.
File C:\WINDOWS\system32\winrzf32.dll deleted successfully.


File C:\WINDOWS\system32\zlara.dll not found!
Deletion of file C:\WINDOWS\system32\zlara.dll failed!

Could not process line:
C:\WINDOWS\system32\zlara.dll
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax5E.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax59.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax49.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\aax48.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\mst1C.bat deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2D.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2C.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2B.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win2A.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win29.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win28.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win25.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win24.tmp.exe deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\removalfile.bat deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win23.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win21.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win1F.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win1E.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\win1D.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\miunst_.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

so des ises was ich bekommen hab...