Virus alert in der Taskleiste

#31 sepro

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: UpdateCache Class - {6E28339B-7A2A-47B6-AEB2-46BA53782378} - C:\WINDOWS\system32\dllcache\explorer.dll (file missing
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Programme\Media-Codec\iesplugin.dll

O4 - HKLM\..\RunServices: [MSN8m Startup] msn8m.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS FOR WIN32] phqghu.exe
O4 - HKLM\..\RunServices: [WEB DRIVERS FOR WIN32] phqgh.exe
O4 - HKLM\..\RunServices: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe
O4 - HKLM\..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll

lade das:
http://virus-protect.org/artikel/tools/agentransack.html

gib ein:

Media-Codec

RXToolBar

msn8m.exe

winsystem.exe

phqgh.exe

und poste , was erscheint

---------------------------------------------

ist fuer mich:

C:\WINDOWS\system32

20.07.2006 03:54 687.592 atmtd.dll._
10.06.2006 10:32 81.920 alg(2).dll
30.04.2006 15:45 36.864 frapsvid.dll
C:\WINDOWS\system32\yephk.dll


Verzeichnis von C:\WINDOWS
20.07.2006 03:54 0 keyboard1.dat
20.07.2006 03:54 52 bpvebb.dat
20.07.2006 03:54 2 tempf.txt
10.06.2006 10:31 43 drsmartload2.dat
10.06.2006 10:30 0 newname.dat
10.06.2006 10:30 40 teller2.chk
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Hallo Sabina ,

Ersteinmal vielen Dank für die Hilfe die du mir anbietest ! Virus Alert ! ist inzwischen weg durch deine Hilfe !

Ok, nun weiter.

HijackThis konnt alles fixen bis auf
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll

Beim Agent Ransack- konnte er nur bei der Suche nach Media-Codec etwas finden. Bei den anderen Suchbegriffen sagte er mir 0 files found !

Das hat er bei Media-Codec gefunden :

C:\Programme\Media-Codec (20.07.2006 15:22:32)

So, das wäre von mir erstmal alles bin richtig happy ,dass das blöde Virus Alert ! endlich weg ist

sepro

#33 sepro

avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\alg(2).dll
C:\WINDOWS\system32\yephk.dll
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\bpvebb.dat
C:\WINDOWS\tempf.txt
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\Programme\Media-Codec\isaddon.dll
C:\Programme\Media-Codec\isamini.exe
C:\Programme\Media-Codec\isamonitor.exe
C:\Programme\Media-Codec\isauninst.exe
C:\Programme\Media-Codec\iesplugin.dll
C:\Programme\Media-Codec\ot.ico
C:\Programme\Media-Codec\ts.ico
C:\Programme\Media-Codec\pmmon.exe
C:\Programme\Media-Codec\pmsngr.exe
C:\Programme\Media-Codec\pmuninst.exe
C:\Programme\Media-Codec\uninst.exe
C:\Programme\Media-Codec\ecodec.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

++
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#34 So, erledigt !

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\emmquaaw

*******************

Script file located at: \??\C:\WINDOWS\sqigtsnw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\atmtd.dll._ deleted successfully.
File C:\WINDOWS\system32\alg(2).dll deleted successfully.
File C:\WINDOWS\system32\yephk.dll deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.
File C:\WINDOWS\bpvebb.dat deleted successfully.
File C:\WINDOWS\tempf.txt deleted successfully.
File C:\WINDOWS\drsmartload2.dat deleted successfully.
File C:\WINDOWS\newname.dat deleted successfully.
File C:\WINDOWS\teller2.chk deleted successfully.
File C:\Programme\Media-Codec\isaddon.dll deleted successfully.
File C:\Programme\Media-Codec\isamini.exe deleted successfully.
File C:\Programme\Media-Codec\isamonitor.exe deleted successfully.
File C:\Programme\Media-Codec\isauninst.exe deleted successfully.


File C:\Programme\Media-Codec\iesplugin.dll not found!
Deletion of file C:\Programme\Media-Codec\iesplugin.dll failed!

Could not process line:
C:\Programme\Media-Codec\iesplugin.dll
Status: 0xc0000034

File C:\Programme\Media-Codec\ot.ico deleted successfully.
File C:\Programme\Media-Codec\ts.ico deleted successfully.
File C:\Programme\Media-Codec\pmmon.exe deleted successfully.
File C:\Programme\Media-Codec\pmsngr.exe deleted successfully.
File C:\Programme\Media-Codec\pmuninst.exe deleted successfully.


File C:\Programme\Media-Codec\uninst.exe not found!
Deletion of file C:\Programme\Media-Codec\uninst.exe failed!

Could not process line:
C:\Programme\Media-Codec\uninst.exe
Status: 0xc0000034



File C:\Programme\Media-Codec\ecodec.exe not found!
Deletion of file C:\Programme\Media-Codec\ecodec.exe failed!

Could not process line:
C:\Programme\Media-Codec\ecodec.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#35 scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#36 So fertig,


Incident Status Location

Potentially unwanted tool:application/winfixer2005 Not disinfected c:\windows\downloaded program files\USDR6_0001_D08M0404NetInstaller.exe
Potentially unwanted tool:application/bestoffer Not disinfected c:\windows\smdat32a.sys
Adware:adware/ist.istbar Not disinfected c:\programme\gemeinsame dateien\Totem Shared
Adware:adware/emediacodec Not disinfected c:\programme\Media-Codec
Adware:adware/commad Not disinfected c:\programme\Network Monitor
Adware:adware/savenow Not disinfected c:\programme\Save
Potentially unwanted tool:application/seekmo Not disinfected c:\programme\Seekmo
Adware:adware/cydoor Not disinfected Windows Registry
Potentially unwanted tool:application/need2find Not disinfected hkey_current_user\software\Need2Find
Adware:adware/rxtoolbar Not disinfected Windows Registry
Potentially unwanted tool:application/zango Not disinfected hkey_classes_root\clsid\{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
Potentially unwanted tool:application/altnet Not disinfected hkey_classes_root\clsid\{B7156514-A76C-4545-9D5B-A4E1D02C7AEC}
Adware:adware/whenusearch Not disinfected Windows Registry
Adware:adware/ncase Not disinfected Windows Registry
Adware:Adware/PurityScan Not disinfected C:\avenger\backup.zip[avenger/alg(2).dll]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\daniel\Cookies\daniel@ad.yieldmanager[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\daniel\Cookies\daniel@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\daniel\Cookies\daniel@as1.falkag[1].txt
Spyware:Cookie/BurstNet Not disinfected C:\Dokumente und Einstellungen\daniel\Cookies\daniel@burstnet[2].txt
Spyware:Cookie/Malwarewipe Not disinfected C:\Dokumente und Einstellungen\daniel\Cookies\daniel@malwarewipe[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\daniel\Cookies\daniel@mediaplex[1].txt
Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\daniel\Cookies\daniel@valueclick[1].txt
Adware:Adware/StartPage.AQA Not disinfected C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Counter-Strike Cheat\nk hack.dll
Adware:Adware/StartPage.AQA Not disinfected C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Counter-Strike Cheat\nk hack.exe
Adware:Adware/StartPage.AQA Not disinfected C:\Dokumente und Einstellungen\daniel\Eigene Dateien\ICQ Lite\133187340\andi_330855967\Counter-Strike Cheat\nk hack.dll
Adware:Adware/StartPage.AQA Not disinfected C:\Dokumente und Einstellungen\daniel\Eigene Dateien\ICQ Lite\133187340\andi_330855967\Counter-Strike Cheat\nk hack.exe
Adware:Adware/IST.YourSiteBar Not disinfected C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PL2JZH0M\index[1].htm
Adware:Adware/IST.YourSiteBar Not disinfected C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WQHWND2Q\CADT6JRI.HTM
Adware:Adware/IST.ISTBar Not disinfected C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Distribution.dll.012
Adware:Adware/IST.ISTBar Not disinfected C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Distribution.dll.046
Adware:Adware/IST.ISTBar Not disinfected C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Windows.dll.072
Adware:Adware/IST.ISTBar Not disinfected C:\Programme\Gemeinsame Dateien\Totem Shared\Update\WindowsEx.dll.042
Adware:Adware/SaveNow Not disinfected C:\Programme\Save\SaveUninst.exe
Spyware:Spyware/Lowzones Not disinfected C:\WINDOWS\r.bat

#37

Zitat

Arbeite bitte diese Reinigungsanleitung ab: http://siri.geekstogo.com/SmitfraudFix_De.php

hab ich gemacht und virus alert is weg.
zur sicherheit, kann sich das ma jemand anschauen uns sagen ob da noch irgendwas bösses schlummert.
danke noch ma an diese forum echt klasse.

Logfile of HijackThis v1.99.1
Scan saved at 09:15:01, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MaSoPe\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CCB30A9-5F9B-4FDA-B454-2B0EEC42B36E}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

#38 Hallo Sabina,

ich hab auch dieses Problem mit dem Virus Alert in der Task Leiste. Bin zum ersten mal hier im Forum und kein Profi . Wäre also echt Klasse wenn Du mit möglichst wenig Fachbegriffen mir die Sache erklären kannst. Da dieses Thema schon öfter dran war hab ich erst das Clean up ausgeführt und dann Datfind.bat

Hier sind die 4 Textdateien kopiert (die letzten 3 Monate):

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\WINDOWS\system32

20.07.2006 20:50 13.646 wpa.dbl
14.07.2006 09:42 68 win.dll
14.07.2006 09:42 41 version
14.07.2006 09:37 0 first_run
14.07.2006 09:06 39.992 perfc009.dat
14.07.2006 09:06 311.604 perfh009.dat
14.07.2006 09:06 316.594 perfh007.dat
14.07.2006 09:06 48.156 perfc007.dat
14.07.2006 09:06 723.744 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
02.06.2006 11:04 57.384 avsda.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\DOKUME~1\schwass\LOKALE~1\Temp

21.07.2006 11:04 412 jusched.log
28.06.2006 02:12 24.613 IadHide5.dll
2 Datei(en) 25.025 Bytes
0 Verzeichnis(se), 65.356.906.496 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\WINDOWS

21.07.2006 10:44 344 temp.txt
21.07.2006 10:25 1.781.632 WindowsUpdate.log
21.07.2006 10:19 159 wiadebug.log
21.07.2006 10:19 50 wiaservc.log
21.07.2006 10:19 0 0.log
21.07.2006 10:19 2.048 bootstat.dat
21.07.2006 10:18 32.414 SchedLgU.Txt
20.07.2006 21:09 1.409 QTFont.for
20.07.2006 21:09 54.156 QTFont.qfn
20.07.2006 20:41 598 win.ini
14.07.2006 09:50 86.021 wmsetup.log
14.07.2006 03:01 1.374 imsins.log
14.07.2006 03:01 21.509 tabletoc.log
14.07.2006 03:01 88.274 ntdtcsetup.log
14.07.2006 03:01 483.073 iis6.log
14.07.2006 03:01 193.552 tsoc.log
14.07.2006 03:01 23.115 ocmsn.log
14.07.2006 03:01 148.297 comsetup.log
14.07.2006 03:01 11.832 KB917159.log
14.07.2006 03:01 73.185 netfxocm.log
14.07.2006 03:01 29.123 MedCtrOC.log
14.07.2006 03:01 204.272 ocgen.log
14.07.2006 03:01 20.956 msgsocm.log
14.07.2006 03:01 413.403 FaxSetup.log
14.07.2006 03:01 132.554 msmqinst.log
14.07.2006 03:01 1.374 imsins.BAK
14.07.2006 03:01 12.343 KB914388.log
14.07.2006 03:01 26.809 updspapi.log
14.07.2006 03:00 10.464 KB916595.log
29.06.2006 09:44 511 GEARInstall.log
28.06.2006 02:12 118.784 bwUnin-7.2.0.157-8876480SL.exe
19.06.2006 09:20 3.643 spupdsvc.log
16.06.2006 17:18 13.190 KB917734.log
16.06.2006 17:18 865.390 setupapi.log
16.06.2006 17:17 14.732 KB918439.log
16.06.2006 17:17 15.093 KB917344.log
16.06.2006 17:17 14.868 KB917953.log
16.06.2006 17:17 14.536 KB911280.log
16.06.2006 17:17 18.772 KB916281.log
16.06.2006 17:16 12.850 KB914389.log
16.06.2006 15:28 794 DirectX.log
08.06.2006 14:49 5.762 cdplayer.ini
15.05.2006 08:50 12.154 KB913580.log
28.04.2006 18:15 11.318 KB900485.log
18.04.2006 14:45 15.101 KB908531.log
18.04.2006 14:45 14.324 KB911562.log
18.04.2006 14:44 17.441 KB912812.log
18.04.2006 14:44 25.722 KB911565.log
18.04.2006 14:43 10.899 KB911567.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\

21.07.2006 11:09 0 sys.txt
21.07.2006 11:09 9.145 system.txt
21.07.2006 11:08 344 systemtemp.txt
21.07.2006 11:05 105.919 system32.txt
21.07.2006 10:19 60.978 eremote.txt
21.07.2006 10:19 704.643.072 pagefile.sys

#39 stefan70

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\win.dll

poste den bericht

2.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#40 sepro

1.
Avenger

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_CLASSES_ROOT\Media-Codec.Chl
HKEY_CLASSES_ROOT\vsenchancer.chl
HKEY_CLASSES_ROOT\CLSID\{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
HKEY_CLASSES_ROOT\CLSID\{B7156514-A76C-4545-9D5B-A4E1D02C7AEC}
HKEY_CURRENT_USER\Software\Need2Find
HKEY_CLASSES_ROOT\emediacodec.chl
HKEY_CLASSES_ROOT\media-codec.chl
HKEY_CLASSES_ROOT\media-codec.chl\clsid
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\ecodec.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\media-codec

Files to delete:

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WQHWND2Q\CADT6JRI.HTM
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PL2JZH0M\index[1].htm
c:\windows\downloaded program files\USDR6_0001_D08M0404NetInstaller.exe
c:\windows\smdat32a.sys
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Distribution.dll.012
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Distribution.dll.046
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Windows.dll.072
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\WindowsEx.dll.042
C:\Programme\Save\SaveUninst.exe
C:\WINDOWS\r.bat

gruene Ampel, neustarten, poste den report

**
2.
desinstalliere......loesche manuell:

C:\Programme\Gemeinsame Dateien\Totem Shared
C:\Programme\Media-Codec
C:\Programme\Save
c:\programme\Network Monitor
c:\programme\Seekmo

**
3.
multiavtool
http://virus-protect.org/multiavtool.html

klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 -> dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie

-------------------

ist nicht so fair ..

C:\Dokumente und Einstellungen\daniel\Eigene Dateien\ICQ Lite\133187340\andi_330855967\Counter-Strike Cheat\nk hack.dll
C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Counter-Strike Cheat\nk hack.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Ich nehme mal an "poste den bericht" bedeutet das ich ihn hier reinkopieren soll?! Also Pkt1 ausgeführt und "no virus found"

Antivirus Version Update Result
AntiVir 6.35.0.21 07.21.2006 no virus found
Authentium 4.93.8 07.20.2006 no virus found
Avast 4.7.844.0 07.19.2006 no virus found
AVG 386 07.20.2006 no virus found
BitDefender 7.2 07.21.2006 no virus found
CAT-QuickHeal 8.00 07.20.2006 no virus found
ClamAV devel-20060426 07.20.2006 no virus found
DrWeb 4.33 07.21.2006 no virus found
eTrust-InoculateIT 23.72.74 07.20.2006 no virus found
eTrust-Vet 12.6.2305 07.21.2006 no virus found
Ewido 4.0 07.21.2006 no virus found
Fortinet 2.77.0.0 07.21.2006 no virus found
F-Prot 3.16f 07.20.2006 no virus found
F-Prot4 4.2.1.29 07.20.2006 no virus found
Ikarus 0.2.65.0 07.21.2006 no virus found
Kaspersky 4.0.2.24 07.21.2006 no virus found
McAfee 4811 07.20.2006 no virus found
Microsoft 1.1508 07.21.2006 no virus found
NOD32v2 1.1672 07.21.2006 no virus found
Norman 5.90.23 07.21.2006 no virus found
Panda 9.0.0.4 07.20.2006 no virus found
Sophos 4.07.0 07.21.2006 no virus found
Symantec 8.0 07.21.2006 no virus found
TheHacker 5.9.8.179 07.21.2006 no virus found
UNA 1.83 07.20.2006 no virus found
VBA32 3.11.0 07.20.2006 no virus found
VirusBuster 4.3.7:9 07.21.2006 no virus found

Führe jetzt Pkt 2 aus

Logfile of HijackThis v1.99.1
Scan saved at 11:48:11, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
C:\Programme\Logitech\Easy Synchronization\servicestub.exe
C:\Programme\Haufe\iDesk\iDeskService\python.exe
C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe
C:\Programme\Logitech\Easy Messaging\MobilePhoneSuite.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\system32\eclientn.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\PROGRA~1\SONYER~1\Mobile\SYNCIN~1.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\DOKUME~1\schwass\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.akzent-zeitarbeit.de/
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll (file missing)
O2 - BHO: sname - {BD304BBB-E8B3-4C6C-89D6-E5A2170C1BD1} - C:\WINDOWS\system32\typlq.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Programme\Media-Codec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Easy Synchronization] C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe
O4 - HKLM\..\Run: [Easy Messaging] C:\Programme\Logitech\Easy Messaging\MobilePhoneSuite.exe --nogui
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [IW_ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [ETapiSt] "C:\Programme\Ascotel\BusinessCall\etapist.exe" -autostart
O4 - HKLM\..\Run: [ETapiNotify] eclientn.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Easy Synchronization] C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe --ports
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Akzent.local
O17 - HKLM\Software\..\Telephony: DomainName = Akzent.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Akzent.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Akzent.local
O18 - Protocol: bw+0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: offline-8876480 - {2C46073B-100B-4F8C-BADF-DCCB9BE4CB33} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Easy Synchronization - Unknown owner - C:\Programme\Logitech\Easy Synchronization\servicestub.exe

MfG Stefan

#42 stefan70

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir " C:\WINDOWS\system32\yephk.dll" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Media-Codec" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#43 die listen.bat ist nicht komplett....
__________
MfG Sabina

rund um die PC-Sicherheit

#44 Sorry!!!

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
27.08.2005 13:30 5.065 swflash.inf
2 Datei(en) 6.227 Bytes
0 Verzeichnis(se), 65.356.455.936 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\Dokumente und Einstellungen\schwass\Lokale Einstellungen\Temp

21.07.2006 13:01 <DIR> .
21.07.2006 13:01 <DIR> ..
28.06.2006 02:12 24.613 IadHide5.dll
21.07.2006 13:06 618 jusched.log
21.07.2006 11:52 <DIR> VBE
21.07.2006 12:58 16.384 ~DF207F.tmp
21.07.2006 12:58 512 ~DF208F.tmp
21.07.2006 13:01 16.384 ~DF2D81.tmp
21.07.2006 12:57 512 ~DFF7B7.tmp
21.07.2006 12:58 372 ~WRD0000.doc
7 Datei(en) 59.395 Bytes
3 Verzeichnis(se), 65.356.451.840 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6

Verzeichnis von C:\WINDOWS\Temp

21.07.2006 12:56 <DIR> .
21.07.2006 12:56 <DIR> ..
21.07.2006 12:55 <DIR> hr_temp
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 65.356.451.840 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FC-CAD6


edit sabina

MfG Stefan

#45 stefan70

0.
schau mal auf der Seite nach den Registry-Eintraegen von Media-Codec und ueberpruefe, ob du sie in deiner Registry findest...falls ja, loeschen
http://virus-protect.org/artikel/spyware/media_codec.html

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\yephk.dll
C:\WINDOWS\system32\win.dll
C:\WINDOWS\system32\version
C:\WINDOWS\system32\first_run

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den report vom avenger, der erscheint

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll (file missing)
O2 - BHO: sname - {BD304BBB-E8B3-4C6C-89D6-E5A2170C1BD1} - C:\WINDOWS\system32\typlq.dll
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Programme\Media-Codec\iesplugin.dll (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll

PC neustarten

3.
arbeite smitfraud.fix ab (Option 1 und 2 ) - lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste beide scanreporte

----------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit