Home » Viren, Trojaner & Malware Forum » WinAntiVirus Pro 2006, TClock und weiteres » Themenansicht

WinAntiVirus Pro 2006, TClock und weiteres
#0
14.07.2006, 19:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 0-
desinstallieren:

C:\Programme
01.07.2006 15:24 <DIR> LimeWire

1.
Avenger:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Nina **\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4btkcsa7.default\Cache\E1AAA3E5d01
C:\Dokumente und Einstellungen\Nina **\Desktop\Neuer Ordner\WinAntiVirusPro2006FreeInstall_de.exe
C:\Dokumente und Einstellungen\Nina **\Eigene Dateien\LimeWire 4.10.9.lnk
C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\services.dll
C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\Update.exe
c:\dokumente und einstellungen\Nina **\dr.exe
c:\dokumente und einstellungen\Nina **\mc-110-12-0000137.exe
c:\dokumente und einstellungen\Nina **\n.bat
c:\dokumente und einstellungen\Nina **\setup.exe
Poste den report

2.
mit der Killbox loeschen: (anklicken "All Files)
http://virus-protect.org/killbox.html

c:\dokumente und einstellungen\Nina **\.limewire
c:\dokumente und einstellungen\Nina **\Shared

--------------------------------------------------------

3.
arbeite die bfu ab..und mache auch den Scan mit Sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

4.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

5.
loesche alle BackUps vom Avenger
C:\avenger\backup.zip/avenger/
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/

6.
loesche die Quarantaene vom ewido und scanne noch mal...bis alles sauber bleibt.

-------------

Zitat

Wenn du Interesse hast, kann ich dir die Liste der Dateien in \Shared\_\ schicken.
C:\Dokumente und Einstellungen\Nina **\Shared\_\xplorer2 1.6.0.1.rar/Setup.exe -> Backdoor.IRCBot.qc

danke fuers Angebot, aber ich kenne den http://virus-protect.org/artikel/spyware/alcrab.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 20:09
mulleimers
Member

Themenstarter

Beiträge: 44
#17 Ist es eigentlich ein Rootkit, welches den Ordner "_" versteckt?
Seitenanfang Seitenende
14.07.2006, 20:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 nein, das ist keiner, aber wir suchen dann noch nach Rootkits, wenn alles andere abgearbeitet ist, poste mir vor allem den scanreport vom Sophos !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 14:53
mulleimers
Member

Themenstarter

Beiträge: 44
#19 Hallo,

So, nach urlaubsbedingter pause wieder da:

0. gelöscht
1. Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\icyinhib

*******************

Script file located at: \??\C:\wyefrddv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\Nina **\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4btkcsa7.default\Cache\E1AAA3E5d01 deleted successfully.
File C:\Dokumente und Einstellungen\Nina *\Desktop\Neuer Ordner\WinAntiVirusPro2006FreeInstall_de.exe deleted successfully.
File C:\Dokumente und Einstellungen\Nina *\Eigene Dateien\LimeWire 4.10.9.lnk deleted successfully.
File C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\services.dll deleted successfully.
File C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\Update.exe deleted successfully.
File c:\dokumente und einstellungen\Nina *\dr.exe deleted successfully.
File c:\dokumente und einstellungen\Nina *\mc-110-12-0000137.exe deleted successfully.
File c:\dokumente und einstellungen\Nina *\n.bat deleted successfully.
File c:\dokumente und einstellungen\Nina *\setup.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

2. Pocket Killbox version 2.0.0.648
Running on Windows XP as Nina *(Administrator)
was started @ Sonntag, Juli 23, 2006, 2:29 PM

# 1 [Files to Delete]
Path = c:\dokumente und einstellungen\Nina *\.limewire
*File Was Deleted

# 2 [Files to Delete]
Path = c:\dokumente und einstellungen\Nina *\Shared
*File Was Deleted

Killbox Closed(Exit) @ 2:30:44 PM
__________________________________________________

3. ok
Sophos-Scan hat nichts gefunden

4. Hat WinAntiVirusPro 2006 und 180Search gefunden und gelöscht (Scanreport konnte ich nicht öffnen)

5. gelöscht und scan läuft noch

------
Wie wird der Ordner "_" denn dann versteckt, wenn nicht durch ein Rootkit?

mulleimers
Seitenanfang Seitenende
24.07.2006, 15:02
mulleimers
Member

Themenstarter

Beiträge: 44
#20 sophos-scan war falsch - wird nochmal gescannt....
Seitenanfang Seitenende
24.07.2006, 16:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 wir schauen mal nach Rootkits:

RootkitRevealer -> poste den report
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 18:45
mulleimers
Member

Themenstarter

Beiträge: 44
#22 weder sophos noch rootkitrevealer haben etwas gefunden

mulleimers

ps: noch einen scan mit kaspersky online scanner ;-) ?
Seitenanfang Seitenende
24.07.2006, 21:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 ja, mache den Scan und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.07.2006, 12:48
mulleimers
Member

Themenstarter

Beiträge: 44
#24 C:\!KillBox\Shared\_\0day mp3s, full quality albums.rar/Setup.exe Infected: Backdoor.Win32.IRCBot.qc skipped
C:\!KillBox\Shared\_\0day mp3s, full quality albums.rar ZIP: infected - 1 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INDEX.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\INDEX.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nina484@gmx.de\SharingMetadata\infected.dat Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nina484@gmx.de\SharingMetadata\Logs\Dfsr.log Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nina484@gmx.de\SharingMetadata\pending.dat Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nina484@gmx.de\SharingMetadata\Working\database_36FC_9707_FC96_C113\dfsr.db Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nina484@gmx.de\SharingMetadata\Working\database_36FC_9707_FC96_C113\fsr.log Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nina484@gmx.de\SharingMetadata\Working\database_36FC_9707_FC96_C113\fsrtmp.log Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nina484@gmx.de\SharingMetadata\Working\database_36FC_9707_FC96_C113\tmp.edb Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\nina484@gmx.de\real\members.stg Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\nina484@gmx.de\shadow\members.stg Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Temp\~DF8DA5.tmp Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Temp\~DF8DC0.tmp Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Temp\~DFA4E4.tmp Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Temp\~DFA532.tmp Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006072820060729\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\Nina *\ntuser.dat.LOG Object is locked skipped
C:\Programme\Norton AntiVirus\AVApp.log Object is locked skipped
C:\Programme\Norton AntiVirus\AVError.log Object is locked skipped
C:\Programme\Norton AntiVirus\AVVirus.log Object is locked skipped
C:\Programme\Norton AntiVirus\Quarantine\11EB17DC.exe/data0006 Infected: Trojan-Dropper.Win32.VB.mz skipped
C:\Programme\Norton AntiVirus\Quarantine\11EB17DC.exe NSIS: infected - 1 skipped
C:\Programme\Norton AntiVirus\Quarantine\11EB17DC.exe CryptFF: infected - 1 skipped
C:\Programme\Norton AntiVirus\Quarantine\1E0D14BA Infected: Trojan.Win32.Scapur.k skipped
C:\Programme\Norton AntiVirus\Quarantine\26645354/data0006 Infected: Trojan-Dropper.Win32.VB.mz skipped
C:\Programme\Norton AntiVirus\Quarantine\26645354 NSIS: infected - 1 skipped
C:\Programme\Norton AntiVirus\Quarantine\26645354 CryptFF: infected - 1 skipped
C:\Programme\Norton AntiVirus\Quarantine\389B7BF9 Infected: Trojan-Downloader.Win32.TSUpdate.o skipped
C:\Programme\Norton AntiVirus\Quarantine\68CD34EF Infected: Trojan.Java.Small.a skipped
C:\Programme\Norton AntiVirus\Quarantine\6FE12C75 Infected: Trojan-Downloader.Win32.Small.buy skipped
C:\Programme\Norton AntiVirus\Quarantine\6FE55672 Infected: Trojan-Downloader.Win32.Small.buy skipped
C:\Programme\Norton AntiVirus\Quarantine\6FE8006E Infected: Trojan-Downloader.Win32.Small.buy skipped
C:\Programme\Norton AntiVirus\Quarantine\6FEB2A6B Infected: Trojan-Downloader.Win32.Small.buy skipped
C:\Programme\Norton AntiVirus\Quarantine\6FEF5467 Infected: Trojan-Downloader.Win32.Small.buy skipped
C:\Programme\Norton AntiVirus\Quarantine\6FFC7C59 Infected: Trojan-Downloader.Win32.TSUpdate.o skipped
C:\Programme\Norton AntiVirus\Quarantine\6FFF2655 Infected: Trojan-Downloader.Win32.TSUpdate.o skipped
C:\Programme\Norton AntiVirus\Quarantine\70025051 Infected: Trojan-Downloader.Win32.TSUpdate.o skipped
C:\Programme\Norton AntiVirus\Quarantine\70057A4E/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n skipped
C:\Programme\Norton AntiVirus\Quarantine\70057A4E/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p skipped
C:\Programme\Norton AntiVirus\Quarantine\70057A4E/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l skipped
C:\Programme\Norton AntiVirus\Quarantine\70057A4E/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f skipped
C:\Programme\Norton AntiVirus\Quarantine\70057A4E WiseSFX: infected - 4 skipped
C:\Programme\Norton AntiVirus\Quarantine\70057A4E CryptFF: infected - 4 skipped
C:\Programme\Norton AntiVirus\Quarantine\70122240 Infected: Trojan-Downloader.Win32.TSUpdate.p skipped
C:\Programme\Norton AntiVirus\Quarantine\70164C3C Infected: Trojan-Downloader.Win32.TSUpdate.f skipped
C:\Programme\Norton AntiVirus\Quarantine\72D31DF9 Infected: Trojan-Dropper.Win32.VB.mz skipped
C:\sti.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{41679ACB-8AF8-4611-ABC3-EBC42CD10EBE}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\SYSTEM32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\AppEvent.Evt Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SAM Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SecEvent.Evt Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SysEvent.Evt Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Object is locked skipped
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Object is locked skipped
C:\WINDOWS\SYSTEM32\H323LOG.TXT Object is locked skipped
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\WIADEBUG.LOG Object is locked skipped
C:\WINDOWS\WIASERVC.LOG Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked
Dieser Beitrag wurde am 28.07.2006 um 15:34 Uhr von mulleimers editiert.
Seitenanfang Seitenende
28.07.2006, 14:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 1.
leere die C:\!KillBox (also alles rausloeschen, was du dort findest)

2.
wende das an, (lasse auch die datentraegerbeinigung durchfuehren)
http://virus-protect.org/artikel/tools/combofix.html
poste das log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.07.2006, 15:28
mulleimers
Member

Themenstarter

Beiträge: 44
#26 Hallo Sabina,

1. ok

2. Start Time= 28.07.2006 15:25:35,71
Running from: C:\Dokumente und Einstellungen\Nina *\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-07-23 14:46:52 14330 ( A.... ) "C:\Dokumente und Einstellungen\Nina *\Anwendungsdaten\CleanUp!.log"
2006-07-14 15:25:14 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-07-14 15:19:20 0 ( A.... ) "C:\WINDOWS\SYSTEM32\taskkill.exe"
2006-07-13 14:22:10 ( .D... ) "C:\Programme\CleanUp!"
2006-07-12 14:35:54 ( .D... ) "C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}"
2006-07-02 12:39:44 ( .D... ) "C:\Programme\Gemeinsame Dateien\Download"
2006-07-01 16:54:04 ( .D... ) "C:\Dokumente und Einstellungen\Nina *\Anwendungsdaten\WinAntiVirus Pro 2006"
2006-07-01 15:44:26 93633 ( A.SH. ) "C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe"
2006-07-01 15:17:54 ( .D... ) "C:\Programme\Windows"
2006-06-30 21:41:36 ( .D... ) "C:\Programme\Keep Sheep"
2006-06-16 14:34:44 48936 ( A.... ) "C:\WINDOWS\SYSTEM32\sirenacm.dll"
2006-06-11 18:44:16 192000 ( A.... ) "C:\WINDOWS\lordsofdogtown_ss1.scr"
2006-06-11 18:44:12 535040 ( A.... ) "C:\WINDOWS\flashax.exe"
2006-06-11 18:44:12 12288 ( A.... ) "C:\WINDOWS\impborl.dll"
2006-06-11 18:40:26 512000 ( A.... ) "C:\WINDOWS\SYSTEM32\ShaveYourStyle.scr"
2006-06-06 18:05:46 ( .D... ) "C:\Programme\Sunbelt Software"
2006-06-02 15:58:02 ( .D... ) "C:\Programme\Mozilla Firefox"
2006-06-02 15:58:02 ( .D... ) "C:\Dokumente und Einstellungen\Nina *\Anwendungsdaten\Mozilla"
2006-05-29 18:49:02 ( .D... ) "C:\Programme\Silkroad"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\SYSTEM32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\SYSTEM32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\SYSTEM32\iphlpapi.dll"
2006-04-28 15:29:36 774144 ( A.... ) "C:\Programme\RngInterstitial.dll"
2006-04-28 15:29:36 278528 ( A.... ) "C:\WINDOWS\SYSTEM32\pncrt.dll"
2005-05-30 13:10:58 4277840 ( A.... ) "C:\Programme\icq5_setup.exe"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-14 15:19 0 C:\WINDOWS\system32\taskkill.exe
2006-07-01 16:52 89.088 C:\WINDOWS\system32\atl71.dll
2006-07-01 16:52 8.704 C:\WINDOWS\system32\SpOrder.dll
2006-07-01 16:52 499.712 C:\WINDOWS\system32\msvcp71.dll
2006-07-01 16:52 348.160 C:\WINDOWS\system32\msvcr71.dll
2006-07-01 16:52 1.060.864 C:\WINDOWS\system32\mfc71.dll
2006-06-16 14:34 48.936 C:\WINDOWS\system32\sirenacm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"DVDSentry"="C:\\WINDOWS\\System32\\DSentry.exe"
"AdaptecDirectCD"="\"C:\\Programme\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Creative WebCam Tray"="C:\\Programme\\Creative\\Shared Files\\CAMTRAY.EXE"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{FC96C113-0958-1031-0731-030512200031}"="\"C:\\Programme\\Gemeinsame Dateien\\{FC96C113-0958-1031-0731-030512200031}\\Update.exe\" mc-110-12-0000137"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="http://www.christmas4fun.de/engel/reindeer03.gif"
"SubscribedURL"="http://www.christmas4fun.de/engel/reindeer03.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,12,01,00,00,5e,01,00,00,64,02,00,00,47,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,00
"OriginalStateInfo"=hex:18,00,00,00,12,01,00,00,19,01,00,00,42,00,00,00,8c,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,08,0c,41,c0,ac,74,28,a2,d5,03,68,de,08,0c,20,6d,\
08,0c,74,0e,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DT 11Mbps WLAN USB Station.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\DT 11Mbps WLAN USB Station.lnk"
"backup"="C:\\WINDOWS\\pss\\DT 11Mbps WLAN USB Station.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\DT\\DT11MB~1\\INSTAL~1\\WINXP\\DTUSBM~1.EXE "
"item"="DT 11Mbps WLAN USB Station"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Nina *^Startmenü^Programme^Autostart^ubisoft register.lnk]
"path"="C:\\Dokumente und Einstellungen\\Nina *\\Startmenü\\Programme\\Autostart\\ubisoft register.lnk"
"backup"="C:\\WINDOWS\\pss\\ubisoft register.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Ubisoft\\RAYMAN~1\\Register\\schedule.exe /25.02.2008 14:39:26 /game=Rayman 3 /language=German /country=Ghana /url=http://register-it.ubi.com/register.asp"
"item"="ubisoft register"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Nina *^Startmenü^Programme^Autostart^Yahoo! Widget Engine.lnk]
"path"="C:\\Dokumente und Einstellungen\\Nina *\\Startmenü\\Programme\\Autostart\\Yahoo! Widget Engine.lnk"
"backup"="C:\\WINDOWS\\pss\\Yahoo! Widget Engine.lnkStartup"
"location"="Startup"
"command"="C:\\Programme\\Yahoo!\\WidgetEngine\\YahooWidgetEngine.exe "
"item"="Yahoo! Widget Engine"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 28.07.2006 15:26:19,18
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt



Viele Grüße,
mulleimers
Dieser Beitrag wurde am 28.07.2006 um 15:33 Uhr von mulleimers editiert.
Seitenanfang Seitenende
28.07.2006, 15:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 1.
ueberpruefe, ob das geloescht ist:

C:\Dokumente und Einstellungen\Nina *\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "sheriff.reg" auf dem Desktop doppelklicken , der Registry beifugen und den Rechner neustarten.

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
3.
scanne mit spybot und poste den report
http://www.safer-networking.org/en/download/index.html

4.
schreib, was du in diesem Ordner findest:
C:\Programme\Windows

oder erstelle eine geh.bat (loesche vorher alle anderen bat, die du schon errstellt hattest)

Zitat

cd\
dir "C:\Programme\Windows" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2006, 14:58
mulleimers
Member

Themenstarter

Beiträge: 44
#28 Hallo,

der Ordner C:\Programme\Windows ist leer. Soll ich ihn einfach löschen?

Vielen Dank für die tolle Hilfe!!!!

mulleimers
Seitenanfang Seitenende
06.08.2006, 18:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 1.
loesche: 2006-07-01 15:17:54 ( .D... ) "C:\Programme\Windows"

2.
scanne mit Bitdefender und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12