Trojaner Packed.Win32.Klone.g ,und was jetz???

#1 Hallo zusammen,
ich habe mehrere Trojanen etc.Trojan-Downloader.Win 32.Zlob.yx eingefangen.F-Secure kann das nicht beheben und da ich überhaupt nicht auskenn hoffe,jemand kann mir helfen.
Logfile und dat .txt füge ich bei.

Logfile of HijackThis v1.99.1
Scan saved at 15:54:28, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\nvsvc32.exe
F:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
F:\Programme\F-Secure Internet Security\Common\FCH32.EXE
F:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
F:\Programme\F-Secure Internet Security\FSPC\fspc.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
D:\WINDOWS\system32\wuauclt.exe
F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
F:\Programme\F-Secure Internet Security\Common\FSM32.EXE
F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe
F:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}\Update.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
F:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\WINDOWS\System32\HPZipm12.exe
G:\adware05\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [F-Secure Manager] "F:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "F:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "F:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: F-Secure 2006.lnk = F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: hp psc 2000 Series.lnk = F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = F:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &eBay Search - res://F:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Dieses Popup &blockieren - F:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093879049193
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133543935379
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Laut F-Secure sind : ishost.exe und ismon.exe befallen, soll u. kann ich das löschen????

Verzeichnis von D:\WINDOWS\system32

17.07.2006 15:51 626.742 twabc.ini
17.07.2006 15:39 12.800 ismon.0xe
17.07.2006 15:35 2.206 wpa.dbl
15.07.2006 16:34 38.925 byxxvwt.dll
15.07.2006 16:34 105.488 ISHOST.0XE
15.07.2006 13:38 39.276 perfc009.dat
15.07.2006 13:38 309.564 perfh009.dat
15.07.2006 13:38 47.562 perfc007.dat
15.07.2006 13:38 314.822 perfh007.dat
15.07.2006 13:38 718.592 PerfStringBackup.INI
15.07.2006 12:17 1.187.840 winsflt.dll
12.07.2006 22:26 97 mcrh.tmp
10.07.2006 21:14 1.187.840 winsflt.1
09.07.2006 11:09 39.437 mljgfda.dll
08.07.2006 14:47 623.839 twabc.bak2
07.07.2006 23:26 81.984 bdod.bin
07.07.2006 22:18 31 getfile.dat
07.07.2006 18:43 623.283 twabc.bak1
07.07.2006 18:42 569.396 cbawt.dll
06.07.2006 21:46 39.437 khfefdd.dll
06.07.2006 21:45 18.432 winupx32.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
01.05.2006 21:24 81.920 ElbyCDIO.dll

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\DOKUME~1\Tom\LOKALE~1\Temp

15.07.2006 13:26 200 VisioCA.log
15.07.2006 12:13 166.500 BWInstall.log
15.07.2006 12:10 26.404 BWDump.log
13.07.2006 19:50 69.632 UninstallRC-4476822.dll
12.07.2006 23:21 196.660 BWInstall.log.old
5 Datei(en) 459.396 Bytes
0 Verzeichnis(se), 1.755.611.136 Bytes frei

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\WINDOWS

17.07.2006 15:38 0 0.log
17.07.2006 15:37 159 wiadebug.log
17.07.2006 15:36 1.968.714 WindowsUpdate.log
17.07.2006 15:36 50 wiaservc.log
17.07.2006 15:35 2.048 bootstat.dat
15.07.2006 16:19 32.228 SchedLgU.Txt
15.07.2006 13:28 1.262.804 iis6.log
15.07.2006 13:28 205.656 comsetup.log
15.07.2006 13:28 215.051 ntdtcsetup.log
15.07.2006 13:28 479.184 tsoc.log
15.07.2006 13:28 48.549 tabletoc.log
15.07.2006 13:28 1.374 imsins.log
15.07.2006 13:28 52.835 ocmsn.log
15.07.2006 13:28 12.596 KB917159.log
15.07.2006 13:28 175.502 netfxocm.log
15.07.2006 13:28 329.568 ocgen.log
15.07.2006 13:28 59.247 medctroc.Log
15.07.2006 13:28 50.933 msgsocm.log
15.07.2006 13:28 1.069.211 FaxSetup.log
15.07.2006 13:27 343.172 msmqinst.log
15.07.2006 13:21 1.467 win.ini
15.07.2006 13:17 1.374 imsins.BAK
15.07.2006 13:17 12.433 KB914388.log
15.07.2006 13:17 44.078 updspapi.log


Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\

17.07.2006 16:59 0 sys.txt
17.07.2006 16:59 11.447 system.txt
17.07.2006 16:59 903 systemtemp.txt
17.07.2006 16:59 113.279 system32.txt
17.07.2006 15:53 11.447 windows.txt
17.07.2006 15:52 498 temp.txt
17.07.2006 15:35 267.964.416 hiberfil.sys
17.07.2006 15:35 1.006.632.960 pagefile.sys
8 Datei(en) 1.274.734.950 Bytes
0 Verzeichnis(se), 1.752.637.440 Bytes frei

Vielen Dank im voraus
MfG J23

#2 .
Vundofix abarbeiten
http://virus-protect.org/artikel/tools/vundofixx.html

.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
D:\WINDOWS\system32\twabc.ini
D:\WINDOWS\system32\ismon.0xe
D:\WINDOWS\system32\byxxvwt.dll
D:\WINDOWS\system32\ISHOST.0XE
D:\WINDOWS\system32\mcrh.tmp
D:\WINDOWS\system32\mljgfda.dll
D:\WINDOWS\system32\twabc.bak2
D:\WINDOWS\system32\bdod.bin
D:\WINDOWS\system32\getfile.dat
D:\WINDOWS\system32\twabc.bak1
D:\WINDOWS\system32\cbawt.dll
D:\WINDOWS\system32\khfefdd.dll
D:\WINDOWS\system32\winupx32.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

.
smitfraud.fix abarbeiten
http://virus-protect.org/artikel/tools/smitfrautfix.html
(Option 1 und 2 - lasse auch die registry mitreinigen)

.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina

Vielen Dank fuer deine antwort.
Habe 1-6 durchgeführt:

+ Erstellt um: 02:49:12 19.07.2006

+ Scan-Ergebnis:

F:\Programme\Tlen.pl\plugins\DozaKultury.tpl -> Adware.Doza : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\system32\byxxvwt.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\system32\khfefdd.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\system32\mljgfda.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt).
:mozilla.32:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Mozilla\Firefox\Profiles\default.a0u\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.12:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\50ylvj5z.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert.
D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}\Update.exe -> Trojan.Starter.65 : Mit Backup gesäubert (unter Quarantäne gestellt).
[3552] D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}\Update.exe -> Trojan.Starter.65 : Fehler während der Säuberung.

::Berichtende

ewido im Abgesicherten Modus :ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 16:35:43 19.07.2006

+ Scan-Ergebnis:



D:\WINDOWS\system32\byxxvwt.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2A2DSN1P\mulbin32[1].exe -> Downloader.Small : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2A2DSN1P\mulbin32[2].exe -> Downloader.Small : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\temp\win125.tmp -> Downloader.Small : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\temp\win3C60.tmp -> Downloader.Small : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\system32\ismon.0xe -> Downloader.Zlob.yt : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\system32\ISHOST.0XE -> Downloader.Zlob.yx : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\system32\zlara.dll.bak -> Not-A-Virus.Hoax.Win32.Renos.dw : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\WINDOWS\system32\winupx32.dll -> Trojan.Small : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}\__delete_on_reboot__U_p_d_a_t_e_._e_x_e_ -> Trojan.Starter.65 : Mit Backup gesäubert (unter Quarantäne gestellt).

::Berichtende

Ist alles OK ???

hijackthis von Heute :
Logfile of HijackThis v1.99.1
Scan saved at 21:13:03, on 20.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\Programme\ewido anti-spyware 4.0\guard.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\WINDOWS\Explorer.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\WINDOWS\system32\ctfmon.exe
F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
F:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Programme\F-Secure Internet Security\Common\FCH32.EXE
D:\WINDOWS\System32\nvsvc32.exe
F:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\WINDOWS\System32\svchost.exe
F:\Programme\F-Secure Internet Security\FSPC\fspc.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
F:\Programme\F-Secure Internet Security\Common\FSM32.EXE
F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe
F:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
D:\Programme\ewido anti-spyware 4.0\ewido.exe
F:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\WINDOWS\System32\HPZipm12.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
G:\adware05\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [F-Secure Manager] "F:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "F:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "F:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [!ewido] "D:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: F-Secure 2006.lnk = F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: hp psc 2000 Series.lnk = F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = F:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &eBay Search - res://F:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Dieses Popup &blockieren - F:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093879049193
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133543935379
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

MFG J23

#4 poste noch mal die 4 logs von datfindbat

(du hast den avenger nicht angewendet.............) und Vundofix auch nicht...
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina

Vielen Dank, das du mit mir so viel geduld hast und mochte mich entschuldigen, das ich mich erst jetzt melde.
Ich habe alles (????) ausgeführt.
1. LSPfix – hat winsflt.1 nicht gefunden
2. Vundofix – keine Infektionen
3. Spyfalcon – reg. zugefügt
4. avenger – Bericht anbei Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jnpgbwea

*******************
Script file located at: \??\D:\oluswmpe.txt
Script file opened successfully.
Script file read successfully

Backups directory opened successfully at D:\Avenger

*******************
Beginning to process script file:

File D:\WINDOWS\system32\twabc.ini deleted successfully.
File D:\WINDOWS\system32\ismon.0xe not found!

Deletion of file D:\WINDOWS\system32\ismon.0xe failed!

Could not process line:
D:\WINDOWS\system32\ismon.0xe
Status: 0xc0000034

File D:\WINDOWS\system32\byxxvwt.dll deleted successfully.
File D:\WINDOWS\system32\ISHOST.0XE not found!
Deletion of file D:\WINDOWS\system32\ISHOST.0XE failed!

Could not process line:
D:\WINDOWS\system32\ISHOST.0XE
Status: 0xc0000034

File D:\WINDOWS\system32\mcrh.tmp deleted successfully.
File D:\WINDOWS\system32\mljgfda.dll not found!
Deletion of file D:\WINDOWS\system32\mljgfda.dll failed!

Could not process line:
D:\WINDOWS\system32\mljgfda.dll
Status: 0xc0000034

File D:\WINDOWS\system32\twabc.bak2 deleted successfully.
File D:\WINDOWS\system32\bdod.bin deleted successfully.
File D:\WINDOWS\system32\getfile.dat deleted successfully.
File D:\WINDOWS\system32\twabc.bak1 deleted successfully.
File D:\WINDOWS\system32\cbawt.dll deleted successfully.
File D:\WINDOWS\system32\khfefdd.dll not found!
Deletion of file D:\WINDOWS\system32\khfefdd.dll failed!

Could not process line:
D:\WINDOWS\system32\khfefdd.dll
Status: 0xc0000034
File D:\WINDOWS\system32\winupx32.dll not found!
Deletion of file D:\WINDOWS\system32\winupx32.dll failed!

Could not process line:
D:\WINDOWS\system32\winupx32.dll
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.

5. smitfraud inkl. reg.- Bericht anbei - SmitFraudFix v2.68b

Scan done at 14:27:11,49, 21.07.2006
Run from D:\Dokumente und Einstellungen\Tom\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End


6. ewido – Bericht anbei - ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 22:27:04 21.07.2006

+ Scan-Ergebnis:

D:\avenger\byxxvwt.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.

::Berichtende
Logfile of HijackThis v1.99.1
Scan saved at 13:52:18, on 22.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ctfmon.exe
F:\Programme\F-Secure Internet Security\Common\FSM32.EXE
F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe
D:\Programme\ewido anti-spyware 4.0\ewido.exe
F:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
F:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\WINDOWS\System32\HPZipm12.exe
D:\WINDOWS\system32\NOTEPAD.EXE
F:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
F:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
D:\Programme\Skype\toolbars\Skype for Outlook\SkypeOBE.exe
F:\Programme\Skype\Phone\Skype.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
G:\adware05\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {06A33A70-B968-412B-B7C8-A6C529EBC7F0} - (no file)
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - F:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {3D2C0838-9354-4935-B0F3-62D9230C273C} - (no file)
O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - (no file)
O2 - BHO: (no name) - {66D02BE8-DD2E-4628-A89C-08BFA378FC62} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\system32\byxxvwt.dll (file missing)
O2 - BHO: (no name) - {6F492647-F6FC-41BA-B62F-55E4255179F5} - (no file)
O2 - BHO: (no name) - {7AB32B69-90AB-4B12-9BC3-D9D5744A0355} - D:\WINDOWS\system32\cbawt.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {C9B1004A-801A-471E-809B-F38101E6B5F0} - (no file)
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - D:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: (no name) - {EC0E1927-A1DE-4687-A373-9DA75C5F166C} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [F-Secure Manager] "F:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "F:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "F:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [!ewido] "D:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: F-Secure 2006.lnk = F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: hp psc 2000 Series.lnk = F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = F:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &eBay Search - res://F:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Dieses Popup &blockieren - F:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093879049193
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133543935379
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O20 - Winlogon Notify: byxxvwt - byxxvwt.dll (file missing)
O20 - Winlogon Notify: cbawt - D:\WINDOWS\system32\cbawt.dll (file missing)
O20 - Winlogon Notify: winupx32 - winupx32.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\WINDOWS\system32

20.07.2006 19:25 2.206 wpa.dbl
17.07.2006 16:03 309.564 perfh009.dat
17.07.2006 16:03 314.822 perfh007.dat
17.07.2006 16:03 39.276 perfc009.dat
17.07.2006 16:03 47.562 perfc007.dat
17.07.2006 16:03 711.092 PerfStringBackup.INI
15.07.2006 12:17 1.187.840 winsflt.dll
10.07.2006 21:14 1.187.840 winsflt.1
06.07.2006 21:45 18.432 __delete_on_reboot__w_i_n_u_p_x_3_2_._d_l_l_
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
01.05.2006 21:24 81.920 ElbyCDIO.dll

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\DOKUME~1\Tom\LOKALE~1\Temp

22.07.2006 13:38 512 ~DF1DA7.tmp
22.07.2006 13:32 16.384 ~DFC957.tmp
22.07.2006 13:31 16.384 ~DF6C10.tmp
22.07.2006 13:20 512 ~DFA946.tmp
22.07.2006 13:03 33.280 ~WRC0001.tmp
22.07.2006 13:00 33.280 ~WRC0000.tmp
21.07.2006 15:42 16.896 ~WRS0004.tmp
7 Datei(en) 117.248 Bytes
0 Verzeichnis(se), 1.713.377.280 Bytes frei

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\WINDOWS

22.07.2006 13:44 32.334 SchedLgU.Txt
22.07.2006 12:28 0 0.log
22.07.2006 12:27 157 wiadebug.log
22.07.2006 12:27 2.031.283 WindowsUpdate.log
22.07.2006 12:27 50 wiaservc.log
22.07.2006 12:27 2.048 bootstat.dat
21.07.2006 14:25 1.531.812 ntbtlog.txt
20.07.2006 20:32 546.596 setupapi.log
18.07.2006 21:02 6.480 setupact.log
15.07.2006 13:28 1.262.804 iis6.log
15.07.2006 13:28 205.656 comsetup.log
15.07.2006 13:28 215.051 ntdtcsetup.log
15.07.2006 13:28 479.184 tsoc.log
15.07.2006 13:28 52.835 ocmsn.log
15.07.2006 13:28 1.374 imsins.log
15.07.2006 13:28 48.549 tabletoc.log
15.07.2006 13:28 12.596 KB917159.log
15.07.2006 13:28 59.247 medctroc.Log
15.07.2006 13:28 329.568 ocgen.log
15.07.2006 13:28 175.502 netfxocm.log
15.07.2006 13:28 50.933 msgsocm.log
15.07.2006 13:28 1.069.211 FaxSetup.log
15.07.2006 13:27 343.172 msmqinst.log
15.07.2006 13:21 1.467 win.ini
15.07.2006 13:17 1.374 imsins.BAK
15.07.2006 13:17 12.433 KB914388.log
15.07.2006 13:17 44.078 updspapi.log
15.07.2006 13:14 10.358 KB916595.log
15.07.2006 13:08 7.344 fsiuupd.log
15.07.2006 12:18 310.562 RunSetup.log
15.07.2006 12:18 8.638.287 FSISU.log
15.07.2006 12:18 3.524.050 FSSFM.log
15.07.2006 12:18 826.449 FSPROD.log
15.07.2006 12:18 296.076 FSSSINST.log
15.07.2006 12:18 14.445 HELPINST.LOG
15.07.2006 12:18 4.202 NEWSINST.LOG
15.07.2006 12:18 100.603 FSASWSIN.log
15.07.2006 12:18 88.283 fsmainst.log
15.07.2006 12:18 20.413 FSPCINST.LOG
15.07.2006 12:18 40.717 FSSCINST.log
15.07.2006 12:18 3.774 fsavunin.log
15.07.2006 12:18 27.799 FSSYSUPD.LOG
15.07.2006 12:18 1.336.450 FSSETUP.log
15.07.2006 12:18 13.600 FSASWINS.LOG
15.07.2006 12:18 7.980 FSAVCSIN.LOG
15.07.2006 12:18 9.398 FSGUIINS.LOG
15.07.2006 12:18 10.228 fsdginst.log
15.07.2006 12:18 98.657 fwesinst.log
15.07.2006 12:18 47.007 fstnbins.LOG
15.07.2006 12:18 12.107 fsrif.log
15.07.2006 12:17 61.481 fwinst.log
15.07.2006 12:17 159.671 FSAVINST.LOG
15.07.2006 12:17 2.185 DAASINST.LOG
15.07.2006 12:15 13.312 FSSGSUP.LOG
15.07.2006 12:15 746.355 FSDEPH.log
15.07.2006 12:15 45.805 fsbwinst.log
15.07.2006 12:15 2.068 FSPRODRM.LOG
15.07.2006 12:15 478.012 fssgpex.LOG
15.07.2006 12:10 118.842 bwUnin-6.3.2.123-4476822L.exe
15.07.2006 12:08 16.373 Q-Klez.log
12.07.2006 23:27 1.992 FSPCUNIN.LOG
12.07.2006 22:24 561 daasunin.LOG
12.07.2006 22:24 1.255 fsdgunst.log
12.07.2006 22:24 2.981 fsmaunin.log
12.07.2006 22:24 1.966 FSASWUNI.LOG
12.07.2006 21:15 16 wininit.ini
10.07.2006 23:18 272 system.ini
19.06.2006 19:49 14.114 mozver.dat
19.06.2006 18:45 93.161 spupdsvc.log
16.06.2006 22:52 12.972 KB917734.log
16.06.2006 22:52 61.781 wmsetup.log
31.05.2006 04:34 1.141 WISO.INI
31.05.2006 04:20 2.964 tm.ini

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\

22.07.2006 13:55 0 sys.txt
22.07.2006 13:54 11.447 system.txt
22.07.2006 13:54 580 systemtemp.txt
22.07.2006 13:53 112.592 system32.txt
22.07.2006 13:47 859 rapport.txt
22.07.2006 12:52 1.260 VundoFix.txt
22.07.2006 12:27 267.964.416 hiberfil.sys
22.07.2006 12:26 1.006.632.960 pagefile.sys
21.07.2006 14:23 3.794 avenger.txt
21.07.2006 14:19 1.080 rmehcfkf.bat
21.07.2006 14:19 126.976 zip.exe
18.07.2006 20:55 958 rapport.txt-939.txt
18.07.2006 20:11 866 lyyhuaol.txt
17.07.2006 17:00 598 d.txt
17.07.2006 15:53 11.447 windows.txt
17.07.2006 15:52 498 temp.txt
16 Datei(en) 1.274.870.331 Bytes
0 Verzeichnis(se), 1.713.377.280 Bytes frei

Hoffe das jetzt alles OK ist (oder?)
Vielen Dank.

Mit freundlichen Grüßen j23

#6 Avenger:

Zitat

Files to delete:

D:\WINDOWS\system32\__delete_on_reboot__w_i_n_u_p_x_3_2_._d_l_l_
D:\rmehcfkf.bat

poste das log vom avenger

------------------------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {06A33A70-B968-412B-B7C8-A6C529EBC7F0} - (no file)
O2 - BHO: (no name) - {3D2C0838-9354-4935-B0F3-62D9230C273C} - (no file)
O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - (no file)
O2 - BHO: (no name) - {66D02BE8-DD2E-4628-A89C-08BFA378FC62} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\system32\byxxvwt.dll (file missing)
O2 - BHO: (no name) - {6F492647-F6FC-41BA-B62F-55E4255179F5} - (no file)
O2 - BHO: (no name) - {7AB32B69-90AB-4B12-9BC3-D9D5744A0355} - D:\WINDOWS\system32\cbawt.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {C9B1004A-801A-471E-809B-F38101E6B5F0} - (no file)
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - D:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: (no name) - {EC0E1927-A1DE-4687-A373-9DA75C5F166C} - (no file)

O20 - Winlogon Notify: byxxvwt - byxxvwt.dll (file missing)
O20 - Winlogon Notify: cbawt - D:\WINDOWS\system32\cbawt.dll (file missing)
O20 - Winlogon Notify: winupx32 - winupx32.dll (file missing)

PC neustarten

**
scanne mit dr.web und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina

Avenger kann das nicht löschen:
D:\WINDOWS\system32\__delete_on_reboot__w_i_n_u_p_x_3_2_._d_l_l_
D:\rmehcfkf.bat

-Fatal error: could not create newscript file.
error code : 0 could not log error -aborting now!

auch HijackThis kann die o.gen. dat nicht löschen
anbei Dr.WEB

Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.06080)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-07-28, 18:09:19 [J23][Tom]
Kommandozeile: "D:\DOKUME~1\Tom\LOKALE~1\Temp\RarSFX1\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows XP Professional x86 (Build 2600), Service Pack 2
=============================================================================
edit Sabina
-----------------------------------------------------------------------------

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 310
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 2422 Kb/s
Dauer:: 00:00:25
-----------------------------------------------------------------------------
kannst du mir helfen?

#8 1.
poste bitte das log von Winpfind
http://virus-protect.org/winpfind.html

2.
loesche es manuell, oder mit der killbox:
http://virus-protect.org/killbox.html

D:\WINDOWS\system32\__delete_on_reboot__w_i_n_u_p_x_3_2_._d_l_l_
D:\rmehcfkf.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina

1.kb log : Pocket Killbox version 2.0.0.648
Running on Windows XP as Tom(Limited Account)
was started @ Samstag, Juli 29, 2006, 1:37 PM

# 1 [Delete on Reboot]
Path = D:\WINDOWS\system32\__delete_on_reboot__w_i_n_u_p_x_3_2_._d_l_l_


# 2 [Delete on Reboot]
Path = D:\rmehcfkf.bat


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 1:39:00 PM
Killbox Closed(Exit) @ 1:39:54 PM

2. Winpfind log:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Version:
Internet Explorer Version:

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...

Checking %System%\Drivers folder and sub-folders...

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
29.07.2006 13:12:02 HS 267964416 \hiberfil.sys
29.07.2006 13:11:54 HS 1006632960 \pagefile.sys
07.07.2006 18:43:20 HS 623283 \avenger\twabc.bak1
18.07.2006 19:36:40 HS 538904 \avenger\twabc.bak2
21.07.2006 14:20:14 HS 540064 \avenger\twabc.ini
06.07.2006 21:47:44 S 47 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18\6d14e4b1d8ca773bab785d1be032546e_71ecac94-9371-4cbe-9776-b324466cc683
16.06.2006 22:52:48 HS 76 \Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sync Playlists\desktop.ini
15.07.2006 12:17:28 H 233472 \Dokumente und Einstellungen\Default User\NTUSER.DAT
15.07.2006 12:17:28 H 1024 \Dokumente und Einstellungen\Default User\NTUSER.DAT.LOG
29.07.2006 13:31:34 H 16384 \Dokumente und Einstellungen\Tom\NTUSER.DAT.LOG
28.07.2006 23:40:42 HS 300 \Dokumente und Einstellungen\Tom\ntuser.ini
12.07.2006 22:36:00 RH 1458 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Lavasoft\Ad-Aware\settings.awc
10.07.2006 21:44:40 RH 1458 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Lavasoft\Ad-Aware(2)\settings.awc
29.07.2006 13:12:04 HS 508 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\Credentials\S-1-5-21-515967899-1202660629-854245398-1003\Credentials
30.05.2006 18:55:58 S 688 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
29.06.2006 05:42:32 S 32710 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\A8FABA189DB7D25FBA7CAC806625FD30
30.05.2006 18:55:58 S 94 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
29.06.2006 05:42:32 S 124 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\A8FABA189DB7D25FBA7CAC806625FD30
08.07.2006 23:52:54 HS 2128 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
28.07.2006 19:35:34 H 1893 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\index.dat
21.07.2006 13:13:10 HS 388 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\Protect\S-1-5-21-515967899-1202660629-854245398-1003\6181998b-fa12-4377-8cce-4c23da002b67
21.07.2006 13:13:10 HS 24 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\Protect\S-1-5-21-515967899-1202660629-854245398-1003\Preferred
21.07.2006 13:56:06 H 162 \Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft\Vorlagen\~$os Garten-Rechnungvorlage.dot
29.07.2006 13:12:04 HS 62 \Dokumente und Einstellungen\Tom\Lokale Einstellungen\desktop.ini
09.07.2006 18:20:54 H 2910766 \Dokumente und Einstellungen\Tom\Lokale Einstellungen\Anwendungsdaten\IconCache.db
28.07.2006 23:40:28 H 524288 \Dokumente und Einstellungen\Tom\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
29.07.2006 13:13:14 H 1024 \Dokumente und Einstellungen\Tom\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
07.07.2006 22:39:40 RH 43084 \Programme\Softwin\BitDefender9\Quarantine\PCKd14d40807342.quar
12.07.2006 21:54:48 HS 65 \RECYCLER\S-1-5-21-515967899-1202660629-854245398-1003\desktop.ini
25.07.2006 21:45:48 H 19220 \RECYCLER\S-1-5-21-515967899-1202660629-854245398-1003\INFO2
29.07.2006 13:12:02 S 2048 \WINDOWS\bootstat.dat
15.07.2006 12:17:02 HS 10240 \WINDOWS\rnapxs\rnapxs.dat
01.06.2006 22:28:44 S 11043 \WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB918439.cat
29.07.2006 13:17:06 H 1024 \WINDOWS\system32\config\default.LOG
29.07.2006 13:12:04 H 1024 \WINDOWS\system32\config\SAM.LOG
29.07.2006 13:13:40 H 1024 \WINDOWS\system32\config\SECURITY.LOG
29.07.2006 13:31:18 H 1024 \WINDOWS\system32\config\software.LOG
29.07.2006 13:30:08 H 1024 \WINDOWS\system32\config\system.LOG
29.07.2006 13:12:04 H 6 \WINDOWS\Tasks\SA.DAT
15.07.2006 16:34:46 HS 43 \WINDOWS\temp\removalfile.bat

Checking for CPL files...

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
14.12.2005 12:36:32 217 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\Monitors.def
14.12.2005 12:40:40 1055 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\OpenCommand.def
24.10.2005 12:02:38 286 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\Policies.def
qoologic 15.09.2005 07:08:00 1337 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\Qoologic.def
16.09.2005 08:35:00 1313 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\RDriv.def
14.12.2005 12:41:20 396 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\SharedTaskScheduler.def
15.09.2005 10:27:00 1958 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\WareOut.def

Checking files in %ALLUSERSPROFILE%\Application Data folder...
14.12.2005 12:36:32 217 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\Monitors.def
14.12.2005 12:40:40 1055 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\OpenCommand.def
24.10.2005 12:02:38 286 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\Policies.def
qoologic 15.09.2005 07:08:00 1337 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\Qoologic.def
16.09.2005 08:35:00 1313 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\RDriv.def
14.12.2005 12:41:20 396 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\SharedTaskScheduler.def
15.09.2005 10:27:00 1958 D:\Dokumente und Einstellungen\Tom\Desktop\WinPFind\plugins\WareOut.def

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...
05.01.2004 22:21:04 HS 62 D:\Dokumente und Einstellungen\Tom\Anwendungsdaten\desktop.ini
29.02.2004 13:07:04 0 D:\Dokumente und Einstellungen\Tom\Anwendungsdaten\dm.ini
20.01.2006 19:23:08 25968 D:\Dokumente und Einstellungen\Tom\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
=

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = :
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = :
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : d:\programme\google\googletoolbar1.dll
{CBCC61FA-0221-4CCC-B409-CEE865CACA3A} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE D:\WINDOWS\system32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 29.07.2006 13:32:53

...ist alles ok??
__________________________________________________

#10 1.
loesche das backup vom avenger

07.07.2006 18:43:20 HS 623283 \avenger\twabc.bak1
18.07.2006 19:36:40 HS 538904 \avenger\twabc.bak2
21.07.2006 14:20:14 HS 540064 \avenger\twabc.ini

2. poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina

1. erledig

2. geht nicht :
16-Bit-MS-DOS-Teilsystem

SYSTEM\CurrentcontrolSet\Control\VirtualDeviceDrivers.
Das Format des virtuellen Gerätetreibers in der REG.ist ungültig.

was jetzt

#12 scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina hir Panda log.


Ereignis Zustand Standort

Spyware:Cookie/fe.lea.lycos
Nicht desinfiziert D:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Mozilla\Firefox\Profiles\default.a0u\cookies.txt[fe.lea.lycos.de/]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert D:\Dokumente und Einstellungen\Tom\Desktop\SmitfraudFix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert D:\Dokumente und Einstellungen\Tom\Desktop\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert D:\Dokumente und Einstellungen\Tom\Desktop\smitRem\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert D:\Dokumente und Einstellungen\Tom\Desktop\smitRem.exe[smitRem/Process.exe]
Adware:Adware/SecurityError Nicht desinfiziert Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ishost.exe
Adware:Adware/SecurityError Nicht desinfiziert Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ismon.exe
Adware:Adware/SecurityError Nicht desinfiziert Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ishost.exe
Adware:Adware/SecurityError Nicht desinfiziert Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ismon.exe
Adware:Adware/SecurityError Nicht desinfiziert Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ishost.exe
Adware:Adware/SecurityError Nicht desinfiziert Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ismon.exe
Adware:Adware/SecurityError Nicht desinfiziert Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ishost.exe
Spyware:Spyware/Virtumonde Nicht desinfiziert D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}\services.dll
Spyware:Cookie/Falkag Nicht desinfiziert G:\configs.tbz[G:\configs.tbz][/home/knoppix/.mozilla/firefox/3d4ef4xp.default/cookies.txt][.as-eu.falkag.net/]
Hacktool:HackTool/EvID Nicht desinfiziert Z:\Programme\PPLive TV\SynaLiveSetup.exe[EvID4226Patch.exe]

ist alles sauber ??
MfG J23

#14 j23

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
PC neustarten

3.
loeschen:
D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}

4.
auch loeschen, falls du es findest:
Persönliche Ordner\Gesendete Objekte\Free Ikarus Email-Scanner ...\ishost.exe
usw...
__________
MfG Sabina

rund um die PC-Sicherheit