Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX..

#0
30.07.2006, 13:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#76 Uli B

gehe in die Registry
Start - Ausfuehren - regedit

bearbeiten - suchen - SearchToolbar (loeschen)
HKEY_USERS\S-1-5-21-3502422098-1231007713-3040123213-1012\Software\SearchToolbar

HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar

PC neustarten

ich habe auch den Sygate, ich lasse diese zwei Meldungen zu.

Zitat

NDIS user mode I/O Driver (ndisuio.sys) contacted from remote machine 208.175.160.126...
und
Generic host Process for Win 32 Services (svchost.exe) is being contacted from remote machine 208.175.160.126 usingn local port 1030(IAD1-BBn IAD)
----------------

es sollte wieder alles in Ordnung sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.07.2006, 23:57
Member

Beiträge: 23
#77 Sabina,
die searchtoolbar Dinger sind raus.

Vielen Dank für die ausführliche Hilfe.
Kann ich nur empfehlen.

Viele Grüße,
Uli
Seitenanfang Seitenende
04.09.2006, 05:24
...neu hier

Beiträge: 5
#78 Hallo! Über Google bin ich auf dieses Forum gestossen und ich hoffe, dass mir jemand helfen kann.
Habe mir die Postings hier durchgelesen, aber da ich virentechnisch überhaupt keine Ahnung habe, bin ich allein nicht weitergekommen. Es wäre nett, wenn man mir aus diesem Grund auch alles recht einfach erklären könnte - Danke!

Seit einigen Wochen läuft mein PC langsam - habe es auf veraltetes und überfülltes System abgetan. Aber seit heute meldet mein Antivir mir alle paar Minuten den Virus "AR/Agent.RI" und ab und an noch einen weiteren AR-Virus (Namen vergessen - falls er gleich nochmal aufpoppt poste ich ihn noch!).

Ausserdem befürchte ich (nach der heutigen Virensuche) noch die Programme NetMonitor und commandservice irgendwo im System zu haben, die wohl auch nicht ganz sauber sind.

Hier nun erstmal meine Logfiles und ich hoffe, dass mir damit geholfen werden kann. Schonmal vielen Dank für die Mühe!!!

HIGHJACKTHIS LOG:
Logfile of HijackThis v1.99.1
Scan saved at 05:19:27, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\wdfmgr.exe
F:\WINDOWS\system32\UAService7.exe
F:\WINDOWS\System32\alg.exe
F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\AOL 9.0\aoltray.exe
F:\WINDOWS\System32\wbem\wmiprvse.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\AOL 9.0\waol.exe
F:\Programme\AOL 9.0\shellmon.exe
F:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
F:\Dokumente und Einstellungen\Gontermann\Desktop\HJT\HijackThis.exe

R3 - URLSearchHook: (no name) - {44C68CF8-3114-9D2F-6396-450504915C93} - barint.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AOLDialer] F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RtlFindVal] RtlFindVal.exe
O4 - HKLM\..\Run: [abrek] ERTYDF.exe
O4 - HKLM\..\Run: [rxxur.exe] F:\WINDOWS\system32\rxxur.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sound64] syspanel.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = F:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - F:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.125.138.27/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36AE6A79-0AC2-4361-9B24-399572EF194C}: NameServer = 85.255.116.69,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B6CF351-BA53-4060-9192-A580F75B0234}: NameServer = 85.255.116.69,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{90F3649E-4D46-4B72-9964-97F3180E4FF2}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC39082B-5A52-4867-BA6D-133873863711}: NameServer = 85.255.116.69,85.255.112.110
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.110
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - F:\WINDOWS\system32\UAService7.exe



-----
Die anderen Logs folgen noch - muss mein System wegen Fixwareoutinstallation wohl jetzt neu starten...

-----

Sooo da bin ich wieder. Nachdem Fixwareout sich so langsam durch mein System gekämpft hat kann ich folgende 3 Meldungen von Antivir verkünden:

Programm SPR/Fake.KillClea.2
TR/Puper.BX
TR/DNSChanq.EF.94.B

Ich hoffe, ich muss mein System nicht in die Tonne hauen. Hier nun der Fixwareout-LOG:


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EA94B85B47F9-246A-82B4-8C5D-4C06CD9E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}336F83D2D3DA-C959-EFC4-87A8-66A9B3A7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7B63F1312B49-A3EA-DA14-365D-D7D13100{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}16BD14FB3986-794B-E6B4-155B-C180E696{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D197BDE96636-523A-DD24-A4CF-DD458650{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F95DB96FCF62-7F3B-ED84-9706-A0FA1886{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E32CBC19DA0-3828-02B4-F54C-2D1858DB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}263E91A49025-2E2A-FB34-671C-89E0FFFA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CC2D2F297578-1FF9-E174-AFE6-7D1E464E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E965172339A-BE9B-6614-7986-D2691219{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4AEDFC7134E6-A72A-C3F4-2103-6EE57A9B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D557029A407D-0E9A-AFC4-3544-DC9E4E9A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CA8C2CDA97FF-1718-8554-C2F2-6CCB2102{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3F7F41565FFE-4ED8-8CE4-CEF8-800D8C44{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}031ECA6B56ED-3588-D2B4-163A-FD138129{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}90BE3E42ECB1-64FB-8814-FF35-7D7EEAD5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2C46F971779F-A86A-4C84-FBD3-9FCA36B2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}345721706D55-339A-E724-97B9-F691C802{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}97EF95AF23F0-2E6B-6024-A935-48F3DF4D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9E6681ACD460-51D8-A614-65FE-B0DE61D4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3FB5A5C963F6-9D6B-08A4-DE2C-B8BDF0F0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}49B19B83D141-711A-2564-5651-5E752433{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D9D744780787-52FB-3E24-41A5-728EDEC4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E9B0C2286F25-4979-8604-F542-2F856094{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E37C7F74C7B4-2A19-E424-CA4E-2A7F1EF1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CD53DC8A7986-A5C8-7834-C736-341BD065{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D7DBCEE012AF-5018-3074-1EB4-7C5B5F6B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A68BB99E5FA0-B6FB-7AE4-A304-66BF94D2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44EA762394A9-A9E9-A5B4-9EED-7F768FE0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\easmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7F2491F2A60E-2F1B-6194-CD16-20D76D1D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}56E1A91AE19C-DDBA-07B4-9511-A0ED8C13{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
...

Random Runs removed from HKLM
"dmsae.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
* csr.exe F:\WINDOWS\System32\CSMGX.EXE

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
F:\WINDOWS\SYSTEM32\CSMGX.EXE 51.268 2006-09-04
F:\WINDOWS\SYSTEM32\DMSAE.EXE 62.020 2004-08-04

Other suspects.
Directory of F:\WINDOWS\system32
{FB3EF417-EF60-4289-8E1D-461F75E51894}.exe
{238A98E7-E2B5-45F5-B017-B0DE5010CC13}.exe
{6BC84AD0-5DFB-4AA8-A47A-674810E8E71D}.exe
{056854DD-FC4A-42DD-A325-63669EDB791D}.exe

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


-----

Habe Blacklight runtergeladen und gestartet. Hat nichts gefunden glaube ich. Hier das meiner Meinung nach sehr kurze Log:

09/04/06 05:41:27 [Info]: BlackLight Engine 1.0.46 initialized
09/04/06 05:41:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/04/06 05:41:27 [Note]: 7019 4
09/04/06 05:41:27 [Note]: 7005 0
09/04/06 05:41:30 [Note]: 7006 0
09/04/06 05:41:30 [Note]: 7011 1700
09/04/06 05:41:31 [Note]: 7026 0
09/04/06 05:41:31 [Note]: 7026 0
09/04/06 05:41:35 [Note]: FSRAW library version 1.7.1019
09/04/06 05:41:35 [Note]: 2000 1006
09/04/06 05:41:35 [Note]: 2000 1006
09/04/06 05:42:05 [Note]: 7007 0


----

Hier der CleanUp!-Log (zumindest der letzte Teil des Logs)

F:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted
F:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-313A33B0.pf - deleted
F:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted
F:\WINDOWS\Prefetch\NEROCHECK.EXE-092C6DFA.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-11ACEB5A.pf - deleted
F:\WINDOWS\Prefetch\WINACE.EXE-1740FF36.pf - deleted
F:\WINDOWS\Prefetch\WMPLAYER.EXE-09969339.pf - deleted
F:\WINDOWS\Prefetch\GUARDGUI.EXE-1BD45C30.pf - deleted
F:\WINDOWS\Prefetch\SPYBOTSD.EXE-1D495A65.pf - deleted
F:\WINDOWS\Prefetch\AD-AWARE.EXE-308139F4.pf - deleted
F:\WINDOWS\Prefetch\QTTASK.EXE-2D7EEF34.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-2C5310BB.pf - deleted
F:\WINDOWS\Prefetch\AVGNT.EXE-36CA4640.pf - deleted
F:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted
F:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf - deleted
F:\WINDOWS\Prefetch\PHOTOSHOP.EXE-2E1C999E.pf - deleted
F:\WINDOWS\Prefetch\ADOBE GAMMA LOADER.EXE-1FD09C3A.pf - deleted
F:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf - deleted
F:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted
F:\WINDOWS\Prefetch\AOLDIAL.EXE-051FA1C8.pf - deleted
F:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted
F:\WINDOWS\Prefetch\AOLTRAY.EXE-30920C50.pf - deleted
F:\WINDOWS\Prefetch\ACRORD32.EXE-2525A870.pf - deleted
F:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf - deleted
F:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted
F:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf - deleted
F:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf - deleted
F:\WINDOWS\Prefetch\SETUP.EXE-0F40F254.pf - deleted
F:\WINDOWS\Prefetch\GWVIDEO.EXE-1777451C.pf - deleted
F:\WINDOWS\Prefetch\DFRGFAT.EXE-03D95883.pf - deleted
F:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted
F:\WINDOWS\Prefetch\GW.EXE-0BF619EC.pf - deleted
F:\WINDOWS\Prefetch\CALC.EXE-02CD573A.pf - deleted
F:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf - deleted
F:\WINDOWS\Prefetch\VISIONS.EXE-203D2AE2.pf - deleted
F:\WINDOWS\Prefetch\UPDATER.EXE-218CCD9A.pf - deleted
F:\WINDOWS\Prefetch\WMPLAYER.EXE-0996933B.pf - deleted
F:\WINDOWS\Prefetch\GW.TMP-015EC9CC.pf - deleted
F:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf - deleted
F:\WINDOWS\Prefetch\FFVT3R.EXE-156628D7.pf - deleted
F:\WINDOWS\Prefetch\XXX.JPG-23DCA48F.pf - deleted
F:\WINDOWS\Prefetch\{E9DC60C4-D5C8-4B28-A642-9F74-2DE8355F.pf - deleted
F:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf - deleted
F:\WINDOWS\Prefetch\{056854DD-FC4A-42DD-A325-6366-14B6E569.pf - deleted
F:\WINDOWS\Prefetch\PREUPD.EXE-358AA1C1.pf - deleted
F:\WINDOWS\Prefetch\UPDATE.EXE-13D57D76.pf - deleted
F:\WINDOWS\Prefetch\OSA9.EXE-07EC1F61.pf - deleted
F:\WINDOWS\Prefetch\AVNOTIFY.EXE-22AE9451.pf - deleted
F:\WINDOWS\Prefetch\ARMYOPS.EXE-193829D0.pf - deleted
F:\WINDOWS\Prefetch\{6BC84AD0-5DFB-4AA8-A47A-6748-00257E51.pf - deleted
F:\WINDOWS\Prefetch\IS-08U3N.TMP-1A39AED0.pf - deleted
F:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf - deleted
F:\WINDOWS\Prefetch\{1F9CC04D-C2EE-4428-A67E-FEBC-341B3C85.pf - deleted
F:\WINDOWS\Prefetch\{FB3EF417-EF60-4289-8E1D-461F-311635C9.pf - deleted
F:\WINDOWS\Prefetch\{238A98E7-E2B5-45F5-B017-B0DE-25BB8B4B.pf - deleted
F:\WINDOWS\Prefetch\CMDINST.EXE-17FD229E.pf - deleted
F:\WINDOWS\Prefetch\NETMON.EXE-397BEF2D.pf - deleted
F:\WINDOWS\Prefetch\COMMAND.EXE-175C76B7.pf - deleted
F:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted
F:\WINDOWS\Prefetch\AVGUARD.EXE-3490B18B.pf - deleted
F:\WINDOWS\Prefetch\SCHED.EXE-236A886F.pf - deleted
F:\WINDOWS\Prefetch\AVCENTER.EXE-37584419.pf - deleted
F:\WINDOWS\Prefetch\AVCONFIG.EXE-3B8B9C26.pf - deleted
F:\WINDOWS\Prefetch\AVSCAN.EXE-05AECC0E.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-3A695466.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-16F1748F.pf - deleted
F:\WINDOWS\Prefetch\{B9A75EE6-3012-4F3C-A27A-6E43-173851F6.pf - deleted
F:\WINDOWS\Prefetch\{2012BCC6-2F2C-4558-8171-FF79-0DD25FAD.pf - deleted
F:\WINDOWS\Prefetch\AOL.EXE-2202F9A1.pf - deleted
F:\WINDOWS\Prefetch\WAOL.EXE-24E2CCAA.pf - deleted
F:\WINDOWS\Prefetch\SHELLMON.EXE-1C0146BB.pf - deleted
F:\WINDOWS\Prefetch\AOLTPSPD.EXE-3850049D.pf - deleted
F:\WINDOWS\Prefetch\IPCONFIG.EXE-2395F30B.pf - deleted
F:\WINDOWS\Prefetch\{5DAEE7D7-53FF-4188-BF46-1BCE-27F2537F.pf - deleted
F:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf - deleted
F:\WINDOWS\Prefetch\HIJACKTHIS.EXE-01FC75C6.pf - deleted
F:\WINDOWS\Prefetch\MMC.EXE-2D2D203D.pf - deleted
F:\WINDOWS\Prefetch\{B303DB26-6AD9-4C5E-A6C5-F1B5-1517525C.pf - deleted
F:\WINDOWS\Prefetch\IS-VG8HD.TMP-39CE8909.pf - deleted
F:\WINDOWS\Prefetch\FIXWAREOUT.EXE-19E5BC75.pf - deleted
F:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf - deleted
F:\WINDOWS\Prefetch\DOWNLOAD.EXE-1C610F6F.pf - deleted
F:\WINDOWS\Prefetch\UNZIP.EXE-1145E526.pf - deleted
F:\WINDOWS\Prefetch\BFU.EXE-2407CC54.pf - deleted
F:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf - deleted
F:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf - deleted
F:\WINDOWS\Prefetch\BLBETA.EXE-2BD127E0.pf - deleted
F:\WINDOWS\Prefetch\CLEANUP452.EXE-088D9F82.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-2A94BB85.pf - deleted
F:\WINDOWS\Prefetch\RUNDLL32.EXE-2E5AF1D7.pf - deleted
F:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted
F:\WINDOWS\Prefetch\Layout.ini - deleted
F:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf - deleted
F:\WINDOWS\Prefetch\AOLNYSEV.EXE-26B8BD7B.pf - deleted
F:\WINDOWS\Prefetch\AOLNYSEV.EXE-1CC5208B.pf - deleted
F:\WINDOWS\Prefetch\TEAMSPEAK.EXE-1C1FA5B1.pf - deleted
Emptied Recycle Bin on drive F:
'Run MRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 649.5 MB of disk space from 4801 files.
CleanUp! finished on 09/04/06 05:50:45.



----
Soooo und als letztes noch die DatFind Logs


Datentr„ger in Laufwerk F: ist SYSTEM
Volumeseriennummer: XXXX-XXXX

Verzeichnis von F:\WINDOWS\system32

04.09.2006 05:54 29.204 nvapps.xml
04.09.2006 02:03 278.045 {238A98E7-E2B5-45F5-B017-B0DE5010CC13}.exe
04.09.2006 02:03 705 {FB3EF417-EF60-4289-8E1D-461F75E51894}.exe
04.09.2006 02:03 8.329 {6BC84AD0-5DFB-4AA8-A47A-674810E8E71D}.exe
04.09.2006 01:59 45.568 {056854DD-FC4A-42DD-A325-63669EDB791D}.exe
04.09.2006 01:58 51.268 csmgx.exe

30.08.2006 19:07 2.206 wpa.dbl
21.08.2006 17:25 120.544 FNTCACHE.DAT
06.08.2006 18:18 16.832 amcompat.tlb
06.08.2006 18:18 23.392 nscompat.tlb
30.07.2006 00:50 98.304 CmdLineExt.dll
26.06.2006 00:42 57.384 avsda.dll
04.05.2005 13:39 94.208 China.dll

........

Datentr„ger in Laufwerk F: ist SYSTEM
Volumeseriennummer: XXXX-XXXX

Verzeichnis von F:\DOKUME~1\GONTER~1\LOKALE~1\Temp

........

Verzeichnis von F:\WINDOWS

04.09.2006 05:26 0 0.log
04.09.2006 05:26 159 wiadebug.log
04.09.2006 05:26 2.048 bootstat.dat
04.09.2006 05:24 32.626 SchedLgU.Txt
04.09.2006 05:24 1.182.971 WindowsUpdate.log
04.09.2006 05:24 50 wiaservc.log
04.09.2006 05:12 766 win.ini
04.09.2006 04:32 246.046 ntbtlog.txt
04.09.2006 02:03 2.116 desktop.html
23.08.2006 23:24 810.287 setupapi.log
20.08.2006 19:52 33.585 DirectX.log
20.08.2006 00:12 54.156 QTFont.qfn
19.08.2006 15:02 1.780 eReg.dat
06.08.2006 18:19 260.658 wmsetup.log
06.08.2006 18:18 242 wmsetup10.log
06.08.2006 18:17 316.640 WMSysPr9.prx
31.07.2006 20:41 202 NeroDigital.ini
16.07.2006 16:17 1.409 QTFont.for
21.06.2006 23:34 3.877 CDPLAYER.INI
11.03.2006 23:52 180.472 setupact.log


.......


Datentr„ger in Laufwerk F: ist SYSTEM
Volumeseriennummer: XXXX-XXXX

Verzeichnis von F:\

04.09.2006 05:58 0 sys.txt
04.09.2006 05:58 6.274 system.txt
04.09.2006 05:57 129 systemtemp.txt
04.09.2006 05:56 101.762 system32.txt
04.09.2006 05:26 805.306.368 pagefile.sys
29.08.2005 13:57 210 boot.ini
29.08.2005 13:54 251.184 ntldr
29.08.2005 13:54 47.564 NTDETECT.COM
18.08.2001 19:00 4.952 bootfont.bin
9 Datei(en) 805.718.443 Bytes
0 Verzeichnis(se), 6.133.612.544 Bytes frei



PS: Falls sich wer wundert: "F" ist mein Systemlaufwerk



Sooooo mit den ganzen langen kryptischen Listen kann ich als Laie nicht viel anfangen - aber ein kleines Wunder scheit schon passiert zu sein: Ich meine Windoof wäre schneller gestartet und Antivir hat mich seit dem letzten Neustart nach CleanUp! nicht mehr angebimmelt....

Das macht mich schon etwas hoffnungsvoller!

Ich glaub ich lass nochmal Antivir über ales drüberbrezeln und hoffe, dass mein System bald wieder gut läuft.

Über eine baldige Antwort wäre ich sehr dankbar!

Viele Grüße,
DerGonter
Dieser Beitrag wurde am 04.09.2006 um 06:05 Uhr von DerGonter editiert.
Seitenanfang Seitenende
04.09.2006, 12:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#79 DerGonter

avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar
HKEY_CURRENT_USER\Software\KillAndClean

Files to delete:
F:\Dokumente und Einstellungen\Gontermann\Anwendungsdaten\kc.tmp
C:\Dokumente und Einstellungen\Gontermann\Anwendungsdaten\wo.tmp
F:\WINDOWS\system32\{238A98E7-E2B5-45F5-B017-B0DE5010CC13}.exe
F:\WINDOWS\system32\{FB3EF417-EF60-4289-8E1D-461F75E51894}.exe
F:\WINDOWS\system32\{6BC84AD0-5DFB-4AA8-A47A-674810E8E71D}.exe
F:\WINDOWS\system32\{056854DD-FC4A-42DD-A325-63669EDB791D}.exe
F:\WINDOWS\SYSTEM32\CSMGX.EXE
F:\WINDOWS\SYSTEM32\DMSAE.EXE
F:\WINDOWS\system32\rxxur.exe
F:\WINDOWS\desktop.html
F:\WINDOWS\balloon.wav
F:\WINDOWS\rdt.ini
F:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url
F:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url
F:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url
F:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url
F:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url
F:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url
F:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {44C68CF8-3114-9D2F-6396-450504915C93} - barint.dll (file missing)
O4 - HKLM\..\Run: [RtlFindVal] RtlFindVal.exe
O4 - HKLM\..\Run: [abrek] ERTYDF.exe
O4 - HKLM\..\Run: [rxxur.exe] F:\WINDOWS\system32\rxxur.exe
O4 - HKCU\..\Run: [sound64] syspanel.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{36AE6A79-0AC2-4361-9B24-399572EF194C}: NameServer = 85.255.116.69,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B6CF351-BA53-4060-9192-A580F75B0234}: NameServer = 85.255.116.69,85.255.112.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC39082B-5A52-4867-BA6D-133873863711}: NameServer = 85.255.116.69,85.255.112.110
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.110
PC neustarten

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
smitfraud.fix (option 1 und 2) - poste die scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

**
poste das neue log vom HijackTHis

**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.09.2006, 15:09
...neu hier

Beiträge: 5
#80 Vielen Dank für die schnelle Antwort! Dann will ich doch gleich mal die neuen Logs posten:

------

Habe nur ein kleines Problem. Ich haben Avenger durchlaufen lassen und leider vor dem Neustart das LOG.File verschludert. Die Meissten Probleme hat Avenger gelöscht, aber einige konnte der nicht finden und löschen. Wird das LOG-File irgendwo automatisch gespeichert? Ich konnte es leider nicht mehr finden... :-/

------

Hier ist das SmitfraudFix-Log der Option 1:

SmitFraudFix v2.83

Scan done at 15:08:28,96, 04.09.2006
Run from F:\Dokumente und Einstellungen\Gontermann\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» F:\


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» F:\Dokumente und Einstellungen\Gontermann\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» F:\DOKUME~1\GONTER~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» F:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
04.09.2006, 15:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#81 was avenger nicht finden konnte...war nicht vorhanden.
arbeite alles weitere ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.09.2006, 17:01
...neu hier

Beiträge: 5
#82 So hier nun das SmitfraudFix-Log der Option 2 im Abgesicherten Modus:

SmitFraudFix v2.83

Scan done at 15:12:23,87, 04.09.2006
Run from F:\Dokumente und Einstellungen\Gontermann\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

------
Soooooooo undnun noch der F-Secure Log:

Scanning Report
Monday, September 04, 2006 15:26:03 - 16:58:42
Computer name: WZ-STATION
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ F:\ G:\ H:\


--------------------------------------------------------------------------------

Result: 6 malware found
Trojan.Win32.DNSChanger.ef (virus)
F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047805.EXE (Renamed & Submitted)
F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047819.EXE (Renamed)
F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047841.EXE (Renamed)
F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047864.EXE (Renamed)
F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047896.EXE (Renamed)
W32/Agent.GWJ (virus)
F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047897.EXE

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 29668
System: 4286
Not scanned: 2
Actions:
Disinfected: 0
Renamed: 5
Deleted: 0
None: 1
Submitted: 1
Files not scanned:
F:\PAGEFILE.SYS
F:\WINDOWS\SYSTEM32\CONFIG\SECURITY

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-09-04
F-Secure Libra: 2.4.1, 2006-09-01
F-Secure Orion: 1.2.37, 2006-09-01
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-07-30
F-Secure Draco: 1.0.35, 0259-24-212
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics


-----------

Und abschliessend der Highjackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:00:16, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\UAService7.exe
F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\AOL 9.0\aoltray.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Dokumente und Einstellungen\Gontermann\Desktop\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AOLDialer] F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = F:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - F:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.125.138.27/activex/AxisCamControl.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90F3649E-4D46-4B72-9964-97F3180E4FF2}: NameServer = 205.188.146.145
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - F:\WINDOWS\system32\UAService7.exe



Nun bin ich mal gespannt... vielen Dank nochmals für die schnellen Antworten!
Seitenanfang Seitenende
04.09.2006, 23:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#83 sieht gut aus ;)

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren)

2.
poste das log:
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 00:33
...neu hier

Beiträge: 5
#84 Hey vielen tausend Dank Sabina! System scheit auch wieder gut zu laufen. Hier nun noch das (lange) Winpfind-Log - hoffe da ist nichts mehr zu finden.


WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows sometimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Logfile created on: 05.09.2006 00:25:42
WinPFind v1.5.0 Folder = F:\Dokumente und Einstellungen\Gontermann\Desktop\antivirentools\WinPFind\
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600)
Internet Explorer (Version = 6.0.2900.2180)

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 19:00:00 41118 F:\WINDOWS\SYSTEM32\dfrg.msc ()
winsync 18.08.2001 19:00:00 1309184 F:\WINDOWS\SYSTEM32\wbdbase.deu ()
WSUD 02.08.2005 16:35:00 5140480 F:\WINDOWS\SYSTEM32\nvoglnt.dll (NVIDIA Corporation)
aspack 22.07.2005 19:59:04 2319568 F:\WINDOWS\SYSTEM32\d3dx9_27.dll (Microsoft Corporation)
WSUD 04.08.2004 00:58:08 1228800 F:\WINDOWS\SYSTEM32\ntbackup.exe (Microsoft Corporation)
WSUD 04.08.2004 00:58:24 260096 F:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
UPX! 12.04.2005 20:14:36 20992 F:\WINDOWS\SYSTEM32\kr.exe ()
Umonitor 04.08.2004 00:57:34 686592 F:\WINDOWS\SYSTEM32\rasdlg.dll (Microsoft Corporation)
aspack 04.08.2004 00:57:10 733696 F:\WINDOWS\SYSTEM32\ntdll.dll (Microsoft Corporation)

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 22:41:38 1309184 F:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys (Smart Link)

Items found in F:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
04.09.2006 19:03:38 H 54156 F:\WINDOWS\QTFont.qfn ()
04.09.2006 15:16:52 S 2048 F:\WINDOWS\bootstat.dat ()
05.09.2006 00:18:42 H 1024 F:\WINDOWS\system32\config\system.LOG ()
05.09.2006 00:25:48 H 1024 F:\WINDOWS\system32\config\software.LOG ()
04.09.2006 19:02:38 H 1024 F:\WINDOWS\system32\config\default.LOG ()
04.09.2006 15:17:02 H 1024 F:\WINDOWS\system32\config\SAM.LOG ()
05.09.2006 00:10:16 H 1024 F:\WINDOWS\system32\config\SECURITY.LOG ()
27.08.2006 23:49:44 HS 24 F:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred ()
27.08.2006 23:49:44 HS 388 F:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\1de29ee2-1271-42e4-9f07-f9eab3a84c54 ()
19.08.2006 23:27:28 H 10820 F:\WINDOWS\Help\update.GID ()
04.09.2006 15:16:54 H 6 F:\WINDOWS\Tasks\SA.DAT ()

Checking for CPL files...
29.08.2005 14:30:46 25088 F:\WINDOWS\SYSTEM32\prefscpl.cpl (RealNetworks, Inc.)
20.01.2004 15:10:52 324608 F:\WINDOWS\SYSTEM32\QuickTime.cpl (Apple Computer, Inc.)
04.08.2004 00:58:24 359424 F:\WINDOWS\SYSTEM32\inetcpl.cpl (Microsoft Corporation)
04.08.2004 00:58:24 133120 F:\WINDOWS\SYSTEM32\intl.cpl (Microsoft Corporation)
04.08.2004 00:58:24 69632 F:\WINDOWS\SYSTEM32\joy.cpl (Microsoft Corporation)
18.08.2001 19:00:00 189440 F:\WINDOWS\SYSTEM32\main.cpl (Microsoft Corporation)
04.08.2004 00:58:24 625152 F:\WINDOWS\SYSTEM32\mmsys.cpl (Microsoft Corporation)
18.08.2001 19:00:00 35840 F:\WINDOWS\SYSTEM32\ncpa.cpl (Microsoft Corporation)
18.08.2001 19:00:00 38400 F:\WINDOWS\SYSTEM32\nwc.cpl (Microsoft Corporation)
18.08.2001 19:00:00 28160 F:\WINDOWS\SYSTEM32\telephon.cpl (Microsoft Corporation)
26.05.2005 04:16:22 174872 F:\WINDOWS\SYSTEM32\wuaucpl.cpl (Microsoft Corporation)
02.08.2005 16:35:00 73728 F:\WINDOWS\SYSTEM32\nvtuicpl.cpl ()
04.08.2004 00:58:24 555008 F:\WINDOWS\SYSTEM32\appwiz.cpl (Microsoft Corporation)
04.08.2004 00:58:24 157184 F:\WINDOWS\SYSTEM32\hdwwiz.cpl (Microsoft Corporation)
04.08.2004 00:58:24 381440 F:\WINDOWS\SYSTEM32\irprops.cpl (Microsoft Corporation)
04.08.2004 00:58:24 117248 F:\WINDOWS\SYSTEM32\powercfg.cpl (Microsoft Corporation)
04.08.2004 00:58:24 32768 F:\WINDOWS\SYSTEM32\odbccp32.cpl (Microsoft Corporation)
04.08.2004 00:58:24 260096 F:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
04.08.2004 00:58:24 70656 F:\WINDOWS\SYSTEM32\access.cpl (Microsoft Corporation)
04.08.2004 00:58:24 148480 F:\WINDOWS\SYSTEM32\wscui.cpl (Microsoft Corporation)
04.08.2004 00:58:24 25600 F:\WINDOWS\SYSTEM32\netsetup.cpl (Microsoft Corporation)
04.08.2004 00:58:24 80384 F:\WINDOWS\SYSTEM32\firewall.cpl (Microsoft Corporation)
04.08.2004 00:58:24 110592 F:\WINDOWS\SYSTEM32\bthprops.cpl (Microsoft Corporation)
04.08.2004 00:58:24 303104 F:\WINDOWS\SYSTEM32\sysdm.cpl (Microsoft Corporation)
04.08.2004 00:58:24 138240 F:\WINDOWS\SYSTEM32\desk.cpl (Microsoft Corporation)
04.08.2004 00:58:24 94208 F:\WINDOWS\SYSTEM32\timedate.cpl (Microsoft Corporation)
26.05.2005 04:16:22 174872 F:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl (Microsoft Corporation)
18.08.2001 19:00:00 38400 F:\WINDOWS\SYSTEM32\dllcache\nwc.cpl (Microsoft Corporation)
18.08.2001 19:00:00 35840 F:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl (Microsoft Corporation)
18.08.2001 19:00:00 189440 F:\WINDOWS\SYSTEM32\dllcache\main.cpl (Microsoft Corporation)
18.08.2001 19:00:00 28160 F:\WINDOWS\SYSTEM32\dllcache\telephon.cpl (Microsoft Corporation)

Checking for Downloaded Program Files...
{166B1BCA-3F9C-11CF-8075-444553540000} - Shockwave ActiveX Control - CodeBase = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
{917623D1-D8E5-11D2-BE8B-00104B06BDE3} - CamImage Class - CodeBase = http://217.125.138.27/activex/AxisCamControl.cab
{9D190AE6-C81E-4039-8061-978EBAD10073} - F-Secure Online Scanner 3.0 - CodeBase = http://support.f-secure.com/ols3/fscax.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} - - CodeBase = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
DirectAnimation Java Classes - - CodeBase = file://F:\WINDOWS\Java\classes\dajava.cab
Microsoft XML Parser for Java - - CodeBase = file://F:\WINDOWS\Java\classes\xmldso.cab

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
29.08.2005 16:27:26 910 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk ()
29.08.2005 14:31:22 616 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk ()
29.08.2005 13:39:10 HS 84 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()
06.12.2005 20:45:06 1619 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk ()

Checking files in %ALLUSERSPROFILE%\Application Data folder...
28.02.2006 17:06:20 305 F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html ()
29.08.2005 13:22:18 HS 62 F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini ()

Checking files in %USERPROFILE%\Startup folder...
29.08.2005 13:39:10 HS 84 F:\Dokumente und Einstellungen\Gontermann\Startmenü\Programme\Autostart\desktop.ini ()

Checking files in %USERPROFILE%\Application Data folder...
29.08.2005 13:22:18 HS 62 F:\Dokumente und Einstellungen\Gontermann\Anwendungsdaten\desktop.ini ()

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

>>> Internet Explorer Settings <<<


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Default_Page_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
\\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - F:\windows\system32\blank.htm

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - about:blank
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - F:\WINDOWS\system32\blank.htm

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
\\CustomizeSearch - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
\\SearchAssistant - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
\\{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Microsoft Url Sucheingriff = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)

>>> BHO's <<<
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - AcroIEHlprObj Class = F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

>>> Internet Explorer Bars, Toolbars and Extensions <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
\{4D5C8C25-D075-11d0-B416-00C04FB90376} - &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)
\{FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - Real.com = F:\WINDOWS\system32\Shdocvw.dll (Microsoft Corporation)

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
\{32683183-48a0-441b-a342-7c2a440a9478} - = ()

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
\ShellBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\CmdMapping]
\\{FB5F1910-F110-11d2-BB9E-00C04F795683} - 8192 = Windows Messenger
\\NEXTID - 8195
\\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - 8193 =
\\{BF69DF00-2734-477F-8257-27CD04F88779} - 8194 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - ButtonText: Real.com =
\{FB5F1910-F110-11d2-BB9E-00C04F795683} - ButtonText: Messenger = F:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)

>>> Approved Shell Extensions (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
\\{42071714-76d4-11d1-8b24-00a0c9068ff3} - CPL-Erweiterung für Anzeigeverschiebung = deskpan.dll ()
\\{764BF0E1-F219-11ce-972D-00AA00A14F56} - Shellerweiterungen für die Dateikomprimierung = ()
\\{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Kontextmenü für die Verschlüsselung = ()
\\{88895560-9AA2-1069-930E-00AA0030EBC8} - Erweiterung für HyperTerminal-Icons = F:\WINDOWS\System32\hticons.dll (Hilgraeve, Inc.)
\\{0DF44EAA-FF21-4412-828E-260A8728E7F1} - Taskleiste und Startmenü = ()
\\{32683183-48a0-441b-a342-7c2a440a9478} - Media Band = ()
\\{7A9D77BD-5403-11d2-8785-2E0420524153} - Benutzerkonten = ()
\\{8FF88D21-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 Context Menu Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH)
\\{8FF88D25-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 DragDrop Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH)
\\{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 Context Menu Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH)
\\{8FF88D23-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 Property Sheet Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH)
\\{A5110426-177D-4e08-AB3F-785F10B4439C} - Sony Ericsson Datei-Manager = F:\Programme\Sony Ericsson\Mobile\File Manager\fmgrgui.dll (Sony Ericsson Mobile Communications AB)
\\{A70C977A-BF00-412C-90B7-034C51DA2439} - NvCpl DesktopContext Class = F:\WINDOWS\system32\nvcpl.dll (NVIDIA Corporation)
\\{FFB699E0-306A-11d3-8BD1-00104B6F7516} - Play on my TV helper = F:\WINDOWS\system32\nvcpl.dll (NVIDIA Corporation)
\\{1CDB2949-8F65-4355-8456-263E7C208A5D} - Desktop Explorer = F:\WINDOWS\system32\nvshell.dll ()
\\{1E9B04FB-F9E5-4718-997B-B8DA88302A47} - Desktop Explorer Menu = F:\WINDOWS\system32\nvshell.dll ()
\\{1E9B04FB-F9E5-4718-997B-B8DA88302A48} - nView Desktop Context Menu = F:\WINDOWS\system32\nvshell.dll ()
\\{B41DB860-8EE4-11D2-9906-E49FADC173CA} - WinRAR shell extension = F:\Programme\WinRAR\rarext.dll ()
\\{46E22146-59C0-4136-9233-52E412E2B428} - EzCddax extension = F:\Programme\Easy CD-DA Extractor 8\ezcddax8.dll ()
\\{45AC2688-0253-4ED8-97DE-B5370FA7D48A} - Shell Extension for Malware scanning = F:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
\\{BDEADF00-C265-11d0-BCED-00A0C90AB50F} - = F:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL ()


>>> Context Menu Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers]
\EzCddax - {46E22146-59C0-4136-9233-52E412E2B428} = F:\Programme\Easy CD-DA Extractor 8\ezcddax8.dll ()
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = F:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\Programme\WinRAR\rarext.dll ()
\ZFAdd - {8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH)

[HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\shellex\ContextMenuHandlers]
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\Programme\WinRAR\rarext.dll ()
\ZFAdd - {8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH)

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\BackGround\shellex\ContextMenuHandlers]
\00nView - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} = F:\WINDOWS\system32\nvshell.dll ()
\NvCplDesktopContext - {A70C977A-BF00-412C-90B7-034C51DA2439} = F:\WINDOWS\system32\nvcpl.dll (NVIDIA Corporation)

[HKEY_LOCAL_MACHINE\Software\Classes\Folder\shellex\ContextMenuHandlers]
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = F:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\Programme\WinRAR\rarext.dll ()

>>> Column Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]

>>> Registry Run Keys <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
AOLDialer - F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe (America Online, Inc)
NeroFilterCheck - F:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
avgnt - F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
NvCplDaemon - RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll ()
QuickTime Task - F:\Programme\QuickTime\qttask.exe (Apple Computer, Inc.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE - F:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
Steam - Reg Data missing or invalid ()

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

>>> Startup Links <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Startup]
F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk - F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk - F:\Programme\AOL 9.0\aoltray.exe (America Online, Inc.)
F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()
F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk - F:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup]
F:\Dokumente und Einstellungen\Gontermann\Startmenü\Programme\Autostart\desktop.ini ()

>>> MSConfig Disabled Items <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[All Users Startup Folder Disabled Items]

[Current User Startup Folder Disabled Items]

>>> User Agent Post Platform <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
\\SV1 -

>>> AppInit Dll's <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs]

>>> Image File Execution Options <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
\Your Image File Name Here without a path - Debugger = ntsd -d

>>> Shell Service Object Delay Load <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
\\PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll (Microsoft Corporation)
\\SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} = F:\WINDOWS\System32\stobject.dll (Microsoft Corporation)

>>> Shell Execute Hooks <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} - URL Exec Hook = shell32.dll (Microsoft Corporation)

>>> Shared Task Scheduler <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
\\{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\\{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)

>>> Winlogon <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
\\UserInit = F:\WINDOWS\system32\userinit.exe,
\\Shell = Explorer.exe
\\System =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
\crypt32chain - crypt32.dll = (Microsoft Corporation)
\cryptnet - cryptnet.dll = (Microsoft Corporation)
\cscdll - cscdll.dll = (Microsoft Corporation)
\ScCertProp - wlnotify.dll = (Microsoft Corporation)
\Schedule - wlnotify.dll = (Microsoft Corporation)
\sclgntfy - sclgntfy.dll = (Microsoft Corporation)
\SensLogn - WlNotify.dll = (Microsoft Corporation)
\termsrv - wlnotify.dll = (Microsoft Corporation)
\wlballoon - wlnotify.dll = (Microsoft Corporation)

>>> DNS Name Servers <<<

>>> All Winsock2 Catalogs <<<
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
\000000000001\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
\000000000002\\LibraryPath - %SystemRoot%\System32\winrnr.dll (Microsoft Corporation)
\000000000003\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]
\000000000001\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000002\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000003\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000004\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000005\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000006\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000007\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000008\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000009\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000010\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000011\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000012\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000013\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000014\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000015\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000016\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000017\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000018\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000019\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)

>>> Protocol Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler]
\ipp - ()
\msdaipp - ()

>>> Protocol Filters (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

>>> Selected AddOn's <<<


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Seitenanfang Seitenende
05.09.2006, 13:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#85 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

F:\WINDOWS\SYSTEM32\kr.exe

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 21:11
...neu hier

Beiträge: 5
#86 STATUS: FINISHEDComplete scanning result of "kr.exe", received in VirusTotal at 09.05.2006, 21:01:02 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.05.2006 no virus found
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.05.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.05.2006 no virus found
DrWeb 4.33 09.05.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.04.2006 no virus found
F-Prot 3.16f 09.04.2006 no virus found
F-Prot4 4.2.1.29 09.04.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.05.2006 no virus found
McAfee 4845 09.05.2006 no virus found
Microsoft 1.1560 09.05.2006 no virus found
NOD32v2 1.1740 09.05.2006 no virus found
Norman 5.90.23 09.05.2006 no virus found
Panda 9.0.0.4 09.05.2006 no virus found
Sophos 4.09.0 09.05.2006 no virus found
Symantec 8.0 09.05.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.05.2006 no virus found
VBA32 3.11.1 09.05.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 no virus found


Aditional Information
File size: 20992 bytes
MD5: 5bbe3357753e2f8ce8d5dac6cae54e5c
SHA1: 24695526d199704d626daa18d4f4f371ae8d7204
packers: UPX



Bin ja nicht der Experte, aber das sieht doch gut aus, richtig??? ;-)
Seitenanfang Seitenende
06.09.2006, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#87 nun gut, ich denke, dass wieder alls o.k. ist ;)
wenn es noch Probleme geben sollte...melde dich

das behalte mal im Auge... in zwei Monaten noch mal ueberpruefen lassen....
UPX! 12.04.2005 20:14:36 20992 F:\WINDOWS\SYSTEM32\kr.exe ()
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: