KillAndClean - ibm00001.exe, Maus hängt, Rechner piepst

#0
19.07.2006, 01:00
Member

Beiträge: 36
#1 Hallo liebe Forumsteilnehmer,

meinen Rechner hat es wieder einmal erwischt...
Ich bin weitgehender Laie, habe aber schon ein paar Mal mit den Tipps aus dem Protecus Forum meine Rechner-Probleme wieder gelöst. Ich bitte auch jetzt wieder um Unterstützung, dann ich weiß nicht mehr weiter.

Meine Schutzmaßnahmen: Ich habe Antivir laufend auf dem neuesten Stand. Außerdem mache ich gelegentlich Prüfungen mit Ewido. Als Browser benutze ich immer Opera, außer wenn eine Seite damit nicht geht, nur dann nehme ich den Internet-Explorer. Allerdings nutzt meine Tochter in letzter zeit häufiger ICQ und MSN Messenger.

Also: was ist passiert bzw. welche Beeinträchtigungen gibt es?

1) Ich hatte plötzlich die blinkende Anzeige „Virus Alert, Your Computer is affected. Critical System Error. Ich habe dann im Forum gelesen, dass ich mir Spyware-Quake v2.1 eingefangen hatte , das bin ich mit smitrem.exe im abgesicherten Mode wieder los geworden.

2) Außerdem hatte ich Probleme mit Trojanern, vielleicht aus der gleichen Quelle wie Spyware-Quake. Im abgesicherten Mode habe ich mit Antivir 2 Mal gescannt, beim ersten Mal wurden 15 (!) Trojaner gefunden, beim 2. Mal nichts mehr.
Ich dachte, das wäre es dann, aber dann kam zwischendurch wieder eine Meldung aus dem Antivir Guard:
C:\System Volume Information\...\A0102544.exe
Ist das Trojanische Pferd TR\Small.FB.109

3) Malware-Scans hatte ich zwischendurch etwas vernachlässigt, habe ich dann aber auch aktuell gemacht, 2 Mal im abgesicherten Mode mit Ewido (vorher neu aktualisiert). Beim ersten Mal gab es viele Funde, beim 2. mal nichts mehr.

Was ist weiter noch nicht in Ordnung?
4) Beim Booten erhalte ich den Hinweis:
„C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe“ konnte nicht gefunden werden. Stellen sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf „Start“ und anschließend auf „Suchen“, um eine Datei zu suchen.
5) Die Maus hängt zwischendurch fest, für ca. 1 Sekunde und ziemlich häufig, danach geht sie wieder für einige Sekunden.
6) Der Rechner piepst zwischendurch unregelmäßig, was er bis vor dem Befall mit Spyware-Quake nie gemacht hat (außer beim Booten, Fehleingaben oder wenn es einen Hinweis vom Antivir gab).

Gerade habe ich noch einmal alle temporären Internet-Files gelöscht und einen Lauf mit HijackThis gemacht. Ich hänge unten den Logfile vom HijackThis an, denn aus dem hat sich bei meinen bisherigen Rechner-Befällen immer ergeben was zu tun ist.

Und ich sage jetzt schon allen Forumsteilnehmern vielen Dank, die sich meinem Anliegen annehmen können.

Viele Grüße von schmuseking


Logfile of HijackThis v1.99.0
Scan saved at 00:54:05, on 19.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe
D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\PROGRA~1\VOLUME~2\MT\MT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Speicher Nora\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\EnhanceKeyboard\kb_2k.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Papas\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {914D886E-65D1-8556-F0A8-8664275805BE} - iesetupdll.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: localhost 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{AF7C7247-BA8E-4BC5-A018-797917A6235A}.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{AF7C7247-BA8E-4BC5-A018-797917A6235A}.dll (file missing)
O4 - HKLM\..\Run: [QD FastAndSafe] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Meine Traffic] D:\PROGRA~1\VOLUME~2\MT\MT.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Speicher Nora\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [borlandg] MSTCPDLL.exe
O4 - HKLM\..\Run: [zantu] WTFCTF.exe
O4 - HKLM\..\Run: [dmxxz.exe] C:\WINDOWS\System32\dmxxz.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Web2Pop] REM D:\Programme\Web2Pop\Web2pop.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [KillAndClean] REM "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [dialer423] REM SysSupport.exe
O4 - HKCU\..\Run: [control64] typeconf.exe
O4 - HKCU\..\Run: [LOPTCON] AppMasterCenter.exe

O4 - HKCU\..\Run: [AutoStart-Manager 2006] "D:\Programme\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Speicher Nora\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: enhanced keyboard driver.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'd:\julias müll\netlimiter\nl_lsp.dll' missing
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140820799025
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8659526F-4C0C-4F27-BE13-8FCB6ED43E0D}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7A83CA1-BC27-41D7-978E-43104FF5F4C9}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{F568146A-22D1-4037-8959-CDE764672568}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
19.07.2006, 01:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 schmuseking

1.
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "D:\Programme\Web2Pop" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >>files.txt
dir "C:\Programme\KillAndClean" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
1.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten

3.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten

4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 03:15
Member

Themenstarter

Beiträge: 36
#3 Hallo Sabina,
vielen Dank für die schnelle Antwort.

Ich habe alle Schritte so durchgeführt, wie sie beschrieben sind, Texte s.u.

Beim Booten nach dem Programm Fixwareout wurde ich von Norton Antivirus (der läuft wohl noch beim Booten mit) auf folgendes hingewiesen:
Bösartiges Skript entdeckt.
Objekt: File System Object
Aktivität: Open Text File
Ihr Computer wurde angehalten. Folgendes Script muss geändert werden:
c:\fixwareout\FindT\runs,vbc

Ich habe dann die Option "Script autorisieren" gewählt.

Beim datfindbat hatte ich das Programm zunächst auf der Partition d: (das sind meine Daten und Nicht-Windows-Programme) installiert, deshalb erhielt ich auch nur die Daten von d:
Ich habe dann das Programm auch noch auf c: installiert und laufen lassen.
Im Text unten stehen immer zuerst die Angaben zu c: und dann die zu d:

Ich bin gespannt, was sich daraus ergibt,
viele Grüße von

schmuseking


Datentr„ger in Laufwerk D: ist Daten
Volumeseriennummer: 7029-82EF

Verzeichnis von D:\Programme\Web2Pop

21.06.2005 23:46 <DIR> .
21.06.2005 23:46 <DIR> ..
23.02.2000 12:48 14.023 english.htm
15.12.1999 19:30 16.265 francais.htm
22.12.2003 10:42 399.872 Hotmail.dll
30.12.1999 19:46 406.528 Protect.dll
15.12.1999 19:33 3.863 readme.htm
09.03.2004 13:36 396.800 t-online.dll
27.05.2005 01:03 1.595 unins000.dat
17.12.2002 03:00 82.253 unins000.exe
27.05.2005 01:11 679 unins001.dat
17.12.2002 03:00 82.253 unins001.exe
30.12.1999 19:46 570.880 Web2pop.exe
30.12.1999 19:46 128 Web2Pop.key
10.09.2004 09:12 431.104 Yahoo.dll
13 Datei(en) 2.406.243 Bytes
2 Verzeichnis(se), 204.480.512 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

15.07.2006 20:25 <DIR> .
15.07.2006 20:25 <DIR> ..
19.05.2001 08:57 561.209 MSONSEXT.DLL
19.03.1999 22:46 127.032 MSOWS407.DLL
04.06.1999 15:09 122.937 MSOWS409.DLL
18.03.1999 07:37 593.977 RAGENT.DLL
4 Datei(en) 1.405.155 Bytes
2 Verzeichnis(se), 839.905.280 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

12.06.2002 13:16 112.312 ActiveData.dll
01.07.2003 10:58 241 CabSA.inf
06.07.2001 17:41 106.496 ChkDVD.dll
14.10.1997 19:52 697 DirectAnimation Java Classes.osd
07.06.2005 16:35 1.124.872 EPUWALcontrol.dll
09.05.2005 09:54 539 EPUWALcontrol.inf
28.03.2002 16:05 1.268 erma.inf
10.04.2000 18:12 1.765 fhg.inf
25.08.2003 19:12 1.096 iuctl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx
01.07.2003 10:40 115.936 rufsi.dll
07.05.2003 13:56 289 Setup.inf
27.08.2005 14:30 5.065 swflash.inf
17.05.2004 10:05 156.792 SymAData.dll
11.08.2004 03:22 3.036 wmv9dmo.inf
30.06.2003 23:41 1.689 WMV9VCM.inf
26.05.2005 05:19 291 wuweb.inf
19 Datei(en) 1.747.437 Bytes
0 Verzeichnis(se), 839.905.280 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Dokumente und Einstellungen\Papas\Lokale Einstellungen\Temp

19.07.2006 02:27 <DIR> .
19.07.2006 02:27 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 839.905.280 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\WINDOWS\Temp

19.07.2006 02:24 <DIR> .
19.07.2006 02:24 <DIR> ..
09.03.2006 08:48 16.384 Perflib_Perfdata_6cc.dat
1 Datei(en) 16.384 Bytes
2 Verzeichnis(se), 839.905.280 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Temp

19.07.2006 02:24 <DIR> .
19.07.2006 02:24 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 839.905.280 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Programme

29.06.2006 10:10 <DIR> .
29.06.2006 10:10 <DIR> ..
14.09.2003 17:22 <DIR> Adobe
22.08.2004 11:25 <DIR> Ahead
15.05.2006 10:42 <DIR> AntiVir PersonalEdition Classic
14.05.2004 08:36 <DIR> BlubsterSupport
14.02.2004 18:32 <DIR> Caplio Software
12.02.2004 00:16 <DIR> Common Files
13.09.2003 15:45 <DIR> ComPlus Applications
27.02.2005 02:04 <DIR> Dell
16.09.2003 20:30 <DIR> directx
10.08.2004 09:54 <DIR> DivX
20.12.2003 10:33 <DIR> EZFace
19.02.2005 04:24 <DIR> Gemeinsame Dateien
05.01.2006 16:48 <DIR> Hewlett-Packard
05.01.2006 16:48 <DIR> hp deskjet 5550 series
29.06.2004 01:27 <DIR> Internet Explorer
30.10.2003 01:38 <DIR> Jasc Software Inc
26.09.2003 00:33 <DIR> Java
26.09.2003 00:17 <DIR> Java Web Start
13.09.2003 15:44 <DIR> Messenger
18.10.2003 15:39 <DIR> microsoft frontpage
18.10.2003 15:43 <DIR> Microsoft Visual Studio
20.02.2006 20:53 <DIR> Movie Maker
13.09.2003 15:45 <DIR> MSN
13.09.2003 15:44 <DIR> MSN Gaming Zone
19.04.2006 20:42 <DIR> MSN Messenger
27.02.2005 01:16 <DIR> Musicmatch
12.02.2005 00:59 <DIR> my-playlist
06.04.2005 00:32 <DIR> NavExcel
30.06.2006 07:37 <DIR> NavExcel Search Toolbar
25.02.2006 02:42 <DIR> NetMeeting
13.09.2003 15:45 <DIR> Online Services
13.09.2003 15:48 <DIR> Online-Dienste
29.06.2004 01:26 <DIR> Outlook Express
28.06.2006 11:18 <DIR> Safety Bar
07.01.2006 18:27 <DIR> Sony Ericsson
10.04.2004 10:11 <DIR> SpeedProject
29.06.2006 10:10 <DIR> SpywareQuake.com
11.09.2004 17:50 <DIR> Symantec
07.01.2006 19:32 <DIR> Usb to Seri*hier nicht!* Driver 1.12.25
26.09.2003 00:17 <DIR> Viewpoint
30.09.2003 11:38 <DIR> Winamp
23.02.2006 00:46 <DIR> Windows Media Player
13.09.2003 15:44 <DIR> Windows NT
26.12.2004 01:13 <DIR> WinRAR
13.09.2003 15:51 <DIR> xerox
0 Datei(en) 0 Bytes
47 Verzeichnis(se), 839.901.184 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Dokumente und Einstellungen\Papas\Lokale Einstellungen\Anwendungsdaten

05.05.2005 01:09 <DIR> Adobe
10.07.2006 23:52 324.096 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
24.02.2006 01:07 27.160 GDIPFONTCACHEV1.DAT
14.05.2005 16:21 <DIR> Help
09.06.2005 09:11 <DIR> Identities
11.04.2006 16:53 <DIR> Microsoft
2 Datei(en) 351.256 Bytes
4 Verzeichnis(se), 839.901.184 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Dokumente und Einstellungen\Papas\Anwendungsdaten

05.05.2005 01:09 <DIR> Adobe
05.05.2005 01:09 <DIR> AdobeUM
05.05.2005 01:56 <DIR> Help
22.08.2005 08:34 <DIR> ICQLite
05.05.2005 00:41 <DIR> Identities
05.05.2005 01:55 <DIR> Jasc Software Inc
05.05.2005 01:55 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
05.05.2005 01:28 <DIR> Macromedia
05.05.2005 01:58 <DIR> Mozilla
04.10.2005 10:03 <DIR> MSN6
05.05.2005 01:05 <DIR> Opera
05.05.2005 00:57 <DIR> Opera-Papas
06.10.2005 00:26 <DIR> Real
09.05.2005 23:43 <DIR> ROXIO
20.05.2005 14:38 <DIR> vlc
1 Datei(en) 5 Bytes
15 Verzeichnis(se), 839.901.184 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Programme\Gemeinsame Dateien

19.02.2005 04:24 <DIR> .
19.02.2005 04:24 <DIR> ..
14.09.2003 17:23 <DIR> Adobe
01.10.2003 11:30 <DIR> Ahead
18.10.2003 15:43 <DIR> Designer
13.09.2003 15:47 <DIR> Dienste
27.02.2005 01:20 <DIR> InstallShield
29.06.2004 01:26 <DIR> Microsoft Shared
26.09.2003 00:15 <DIR> mozilla.org
13.09.2003 15:47 <DIR> MSSoap
13.09.2003 16:35 <DIR> ODBC
19.02.2005 04:24 <DIR> Real
18.08.2004 18:41 <DIR> ROXIO
18.08.2004 18:41 <DIR> ROXIO Shared
13.09.2003 16:35 <DIR> SpeechEngines
30.10.2003 02:19 <DIR> SWF Studio
19.07.2006 02:25 <DIR> Symantec Shared
29.06.2004 01:26 <DIR> System
26.12.2004 00:42 <DIR> Wise Installation Wizard
19.02.2005 04:24 <DIR> xing shared
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 839.897.088 Bytes frei


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8BA6A85F369-6419-1A34-F628-BAB4EF7A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EDC0F46AC8D0-9A0A-6834-CCF3-D8C1FB5B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1EB73F4942E8-3CF9-1FF4-143D-D7462895{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A789FDAC7B6A-36B8-AC44-6B03-E4EE91F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8E3FA990B43-2E4B-1E04-F3BB-79543078{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}22E6AECCD24C-ABD9-8054-1F0D-0BA6C203{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6CE595D70366-1F4B-A9C4-321B-7B9A68DC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0E91ACC44AF3-E82A-ECC4-6954-2CA45F27{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}933C63F3D36C-9FF8-1674-C759-76BE5D19{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E32F0C86A4DB-9D0A-FDC4-F287-169B5C55{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D3CB3BA45D5-E55B-F584-6CD6-A8879B9C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}244716C6E03C-00DB-E014-6477-C226E413{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD4403396870-116A-3904-8DA5-2B53365E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}340100E4B119-7E6A-5984-0EEA-6BB7FD12{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3D27C76F0DBA-A2CA-9404-83AE-3FC41F11{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1A40BD9C3FE-C91A-4A54-B166-FC4DBFD5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C18C4BDE366C-B4FB-D714-54D8-8CD34177{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}177DBA59C987-6AB9-E624-3683-8D004FA0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1793A45FD346-15CA-41E4-6EA9-C02AE400{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C92340B7768A-B37B-1744-4834-29C15954{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AE0F989842A9-55DB-3C24-BE20-E7A57DD3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zxxmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
"dmxxz.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects
Directory of C:\WINDOWS\system32



Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8BA6A85F369-6419-1A34-F628-BAB4EF7A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EDC0F46AC8D0-9A0A-6834-CCF3-D8C1FB5B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1EB73F4942E8-3CF9-1FF4-143D-D7462895{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A789FDAC7B6A-36B8-AC44-6B03-E4EE91F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8E3FA990B43-2E4B-1E04-F3BB-79543078{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}22E6AECCD24C-ABD9-8054-1F0D-0BA6C203{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6CE595D70366-1F4B-A9C4-321B-7B9A68DC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0E91ACC44AF3-E82A-ECC4-6954-2CA45F27{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}933C63F3D36C-9FF8-1674-C759-76BE5D19{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E32F0C86A4DB-9D0A-FDC4-F287-169B5C55{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D3CB3BA45D5-E55B-F584-6CD6-A8879B9C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}244716C6E03C-00DB-E014-6477-C226E413{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD4403396870-116A-3904-8DA5-2B53365E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}340100E4B119-7E6A-5984-0EEA-6BB7FD12{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3D27C76F0DBA-A2CA-9404-83AE-3FC41F11{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1A40BD9C3FE-C91A-4A54-B166-FC4DBFD5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C18C4BDE366C-B4FB-D714-54D8-8CD34177{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}177DBA59C987-6AB9-E624-3683-8D004FA0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1793A45FD346-15CA-41E4-6EA9-C02AE400{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C92340B7768A-B37B-1744-4834-29C15954{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AE0F989842A9-55DB-3C24-BE20-E7A57DD3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zxxmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
"dmxxz.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects
Directory of C:\WINDOWS\system32



Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\WINDOWS\system32

17.07.2006 19:25 1.956 d3d8caps.dat
08.07.2006 11:37 2.206 wpa.dbl
05.07.2006 09:18 50.443 QuickTime.qtp
29.06.2006 14:56 4.608 ismon.exe
09.06.2006 01:11 57.384 avsda.dll
26.03.2006 09:22 365.916 perfh009.dat
26.03.2006 09:22 59.966 perfc009.dat
26.03.2006 09:22 382.660 perfh007.dat
26.03.2006 09:22 70.080 perfc007.dat
26.03.2006 09:22 888.738 PerfStringBackup.INI
23.02.2006 00:50 153.176 FNTCACHE.DAT
23.02.2006 00:48 288 $winnt$.inf
23.02.2006 00:45 25.065 wmpscheme.xml
23.02.2006 00:45 16.832 amcompat.tlb
23.02.2006 00:45 23.392 nscompat.tlb
23.02.2006 00:44 488 logonui.exe.manifest
23.02.2006 00:44 488 WindowsLogon.manifest
23.02.2006 00:43 749 cdplayer.exe.manifest
23.02.2006 00:43 749 wuaucpl.cpl.manifest
23.02.2006 00:43 749 nwc.cpl.manifest
23.02.2006 00:43 749 sapi.cpl.manifest
23.02.2006 00:43 749 ncpa.cpl.manifest
23.02.2006 00:41 25.628 emptyregdb.dat
23.02.2006 00:40 525 mapisvc.inf
24.01.2006 19:34 118.784 sirenacm.dll

Datentr„ger in Laufwerk D: ist Daten
Volumeseriennummer: 7029-82EF

Verzeichnis von D:\

29.06.2006 23:57 1.428 sageset2005.reg
27.08.2005 00:04 0 23990098.$$$




Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\DOKUME~1\Papas\LOKALE~1\Temp

19.07.2006 02:32 0 WER119.tmp
23.01.2006 15:36 429 datFind.bat
2 Datei(en) 429 Bytes
0 Verzeichnis(se), 837.963.776 Bytes frei

Datentr„ger in Laufwerk D: ist Daten
Volumeseriennummer: 7029-82EF



Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\

19.07.2006 02:58 0 sys.txt
19.07.2006 02:57 1.097 system.txt
19.07.2006 02:53 1.097 systemtemp.txt
19.07.2006 02:50 110.715 system32.txt
19.07.2006 02:33 956.301.312 pagefile.sys
19.07.2006 02:28 9.258 files.txt
16.07.2006 03:01 40.961 hpfr5550.log
29.06.2006 23:57 3.685 smitfiles.txt
23.02.2006 00:33 194 boot.ini
20.10.2005 22:07 637.063.168 hiberfil.sys



Datentr„ger in Laufwerk D: ist Daten
Volumeseriennummer: 7029-82EF

Verzeichnis von D:\

29.06.2006 23:57 1.428 sageset2005.reg
27.08.2005 00:04 0 23990098.$$$

Verzeichnis von D:\

29.06.2006 23:57 1.428 sageset2005.reg
27.08.2005 00:04 0 23990098.$$$



Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\WINDOWS

19.07.2006 02:41 1.407 win.ini
19.07.2006 02:34 0 0.log
19.07.2006 02:34 896.863 WindowsUpdate.log
19.07.2006 02:34 159 wiadebug.log
19.07.2006 02:34 50 wiaservc.log
19.07.2006 02:33 2.048 bootstat.dat
19.07.2006 02:32 32.592 SchedLgU.Txt
19.07.2006 00:00 191.682 setupact.log
18.07.2006 19:18 1.462.202 ntbtlog.txt
18.07.2006 15:36 938 Ulead32.ini
11.07.2006 01:35 3.222 tm.ini
10.07.2006 22:44 49 NeroDigital.ini
29.06.2006 09:36 0 setuperr.log
25.06.2006 20:04 121 Winamp.ini
16.06.2006 00:25 390.313 setupapi.log
10.05.2006 07:37 17.663 audiovie.ini
10.05.2006 07:18 4.947 cddabase.ini
11.04.2006 16:53 104.770 wmsetup.log
11.04.2006 16:53 231 wmsetup10.log
11.04.2006 16:53 316.640 WMSysPr9.prx
11.04.2006 16:52 299.552 WMSysPrx.prx
07.04.2006 16:03 124 tdf.dii
25.02.2006 02:43 696.881 iis6.log


Datentr„ger in Laufwerk D: ist Daten
Volumeseriennummer: 7029-82EF

Verzeichnis von D:\

29.06.2006 23:57 1.428 sageset2005.reg
27.08.2005 00:04 0 23990098.$$$
Seitenanfang Seitenende
19.07.2006, 12:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 0.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten
------------------------------------------------------------------------------------

1.
erstelle eine neu.bat und poste den text, beachte, dass alles vorherige wieder miterscheinen wird...kopiere nu diesen Teil

Zitat

cd\
dir "C:\Programme\NavExcel" >>files.txt
dir "C:\Programme\NavExcel Search Toolbar" >>files.txt
dir "C:\Programme\Safety Bar" >>files.txt
dir "C:\Programme\SpywareQuake.com" >>files.txt
notepad files.txt
2.
wende smitfraud.fix an (option 1 und 2 ...lasse auch die registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste die reports von option 1 und 2 hier

--------------------------------------------------------------------------

3.
loesche:

C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\dmxxz.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {914D886E-65D1-8556-F0A8-8664275805BE} - iesetupdll.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{AF7C7247-BA8E-4BC5-A018-797917A6235A}.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{AF7C7247-BA8E-4BC5-A018-797917A6235A}.dll (file missing)

O4 - HKLM\..\Run: [borlandg] MSTCPDLL.exe
O4 - HKLM\..\Run: [zantu] WTFCTF.exe
O4 - HKLM\..\Run: [dmxxz.exe] C:\WINDOWS\System32\dmxxz.exe
O4 - HKCU\..\Run: [KillAndClean] REM "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [dialer423] REM SysSupport.exe
O4 - HKCU\..\Run: [control64] typeconf.exe
O4 - HKCU\..\Run: [LOPTCON] AppMasterCenter.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{8659526F-4C0C-4F27-BE13-8FCB6ED43E0D}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7A83CA1-BC27-41D7-978E-43104FF5F4C9}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{F568146A-22D1-4037-8959-CDE764672568}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.07.2006, 01:33
Member

Themenstarter

Beiträge: 36
#5 Hallo Sabina,
vielen vielen Dank für die Unterstützung, und das bei diesem heißen Wetter!

Ich habe jetzt alle Schritte so gemacht, wie beschrieben, ergebnisse s. unten.

zu 1.
Aus der Datei files.txt habe ich nur die neuen Zeilen gepostet, ich hoffe, ich hatte das so richtig verstanden.

Zu 3.
die 3 DATEIEN waren nicht (mehr) auf dem Rechner zu finden.

Zu 4.
Auch hier waren schon beim 1. Scan nicht (mehr) alle Einträge vorhanden. Alle angegebenen vorhandenen Zeilen habe ich gefixt.

Es wäre prima, wenn ich damit die Trojaner usw. los wäre. Ansonsten bitte ich noch einmal um weitere Hinweise

Viele liebe Grüße von
schmuseking

07/20/06 00:27:29 [Info]: BlackLight Engine 1.0.42 initialized
07/20/06 00:27:29 [Info]: OS: 5.1 build 2600 (Service Pack 1)
07/20/06 00:27:30 [Note]: 7019 4
07/20/06 00:27:30 [Note]: 7005 0
07/20/06 00:28:01 [Note]: 7006 0
07/20/06 00:28:01 [Note]: 7011 1772
07/20/06 00:28:01 [Note]: 7026 0
07/20/06 00:28:01 [Note]: 7026 0
07/20/06 00:28:22 [Note]: FSRAW library version 1.7.1019
07/20/06 00:28:51 [Note]: 2000 1006
07/20/06 00:29:27 [Note]: 7007 0



Verzeichnis von C:\Programme\NavExcel

06.04.2005 00:32 <DIR> .
06.04.2005 00:32 <DIR> ..
12.08.2005 01:09 <DIR> NavHelper
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 821.362.688 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Programme\NavExcel Search Toolbar

30.06.2006 07:37 <DIR> .
30.06.2006 07:37 <DIR> ..
06.04.2005 00:32 1.077 settings.dat
1 Datei(en) 1.077 Bytes
2 Verzeichnis(se), 821.362.688 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Programme\Safety Bar

28.06.2006 11:18 <DIR> .
28.06.2006 11:18 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 821.362.688 Bytes frei
Datentr„ger in Laufwerk C: ist Systemprogramme
Volumeseriennummer: A4A2-64CE

Verzeichnis von C:\Programme\SpywareQuake.com

29.06.2006 10:10 <DIR> .
29.06.2006 10:10 <DIR> ..
29.06.2006 10:05 356 sq.ini
1 Datei(en) 356 Bytes
2 Verzeichnis(se), 821.362.688 Bytes frei


SmitFraudFix v2.74

Scan done at 0:50:50,89, 20.07.2006
Run from D:\Programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ismon.exe Deleted
C:\WINDOWS\system32\components\flx?.dll Deleted
C:\WINDOWS\system32\components\flx??.dll Deleted
C:\Programme\SpywareQuake.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Logfile of HijackThis v1.99.0
Scan saved at 01:18:47, on 20.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe
D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
D:\PROGRA~1\VOLUME~2\MT\MT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
D:\Speicher Nora\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\EnhanceKeyboard\kb_2k.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Papas\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QD FastAndSafe] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Meine Traffic] D:\PROGRA~1\VOLUME~2\MT\MT.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Speicher Nora\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Web2Pop] REM D:\Programme\Web2Pop\Web2pop.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AutoStart-Manager 2006] "D:\Programme\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: enhanced keyboard driver.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'd:\julias müll\netlimiter\nl_lsp.dll' missing
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140820799025
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
20.07.2006, 11:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
deinstalliere, loesche:
C:\Programme\NavExcel\NavHelper
C:\Programme\NavExcel

C:\Programme\NavExcel Search Toolbar\settings.dat
C:\Programme\NavExcel Search Toolbar

C:\Programme\Safety Bar

------------------------------------------------------------
2.
fixe mit dem HijackThis:

O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"

-----------------------------------------------------------

3.
scanne mit counterspy und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.07.2006, 02:36
Member

Themenstarter

Beiträge: 36
#7 Hallo Sabina,

vielen Dank für die weitere Unterstützung und die zusätzlichen Anleitungen.

Ich habe alles so gemacht wie vorgeschlagen, und unten ist der Scanreport vom Counterspy-Scan. Ich habe bei der Installation folgende Optionen zunächst nicht gewählt:
- Next scheduled scan
- Active Protection
- Automaric Updates
Wenn ich hier etwas anders einstellen soll, mache ich das natürlich gerne.

Zum Status des Rechners möchte ich noch berichten, dass das Hängen der Maus und das zusätzliche Piepsen noch da sind, weitere Fehlermeldungen vom Antivir habe ich nicht mehr erhalten.

Wenn sich Aktionen aus dem Counterspy-Scan ergeben, so werde ich diese gerne durchführen.

Viele liebe Güße von
schmuseking


Spyware Scan Details
Start Date: 21.07.2006 01:15:54
End Date: 21.07.2006 02:16:45
Total Time: 1 hrs 51 secs

Detected spyware

Grokster P2P Program more information...
Details: Grokster is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Ignored

Infected files detected
C:\Programme\BlubsterSupport\System\System\system.dls


KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Ignored

Infected registry entries detected
HKEY_CURRENT_USER\Software\Kazaa
HKEY_CURRENT_USER\Software\Kazaa\Advanced MaxSearchResult 200
HKEY_CURRENT_USER\Software\Kazaa\Advanced SuperNode 0
HKEY_CURRENT_USER\Software\Kazaa\Advanced ScanFolder 0
HKEY_CURRENT_USER\Software\Kazaa\InstantMessaging IgnoreAll 0
HKEY_CURRENT_USER\Software\Kazaa\InstantMessaging IgnoredUsers
HKEY_CURRENT_USER\Software\Kazaa\k-lite InstallSig 6
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 0 207
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 1 78
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 2 108
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 3 80
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 4 82
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 5 60
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 6 64
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 7 76
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 8 59
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 9 64
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 10 79
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 11 180
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Video 0,1,2,3,4,5,6,7,8,9,10,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder All 0,1,2,3,4,5,6,7,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Audio 0,1,2,3,4,5,6,7,8,9,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Software 0,1,2,3,4,5,6,7,8,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Document 0,1,2,3,4,5,6,7,8,9,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Image 0,1,2,3,4,5,6,7,8,9,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Video 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 All 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Audio 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Software 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Document 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Image 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Video 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 All 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Audio 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Software 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Document 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Image 0
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Video 153,57,98,75,70,52,70,78,75,70,245,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths All 153,57,98,70,75,70,75,245,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Audio 153,57,98,70,75,52,49,78,38,75,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Software 153,57,98,75,70,70,70,75,245,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Document 153,57,98,75,70,78,70,70,75,245,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Image 153,57,98,70,75,70,70,70,75,245,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Video -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns All -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Audio -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Software -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Document -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Image -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 0 110
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 1 49
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 2 136
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 3 136
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 4 216
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 5 268
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 6 182
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 7 111
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 8 13
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 0 189
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 1 72
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 2 108
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 3 80
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 4 204
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 5 60
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 6 64
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 7 60
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 8 76
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 9 180
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 0 151
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 1 72
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 2 108
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 3 80
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 4 82
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 5 60
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 6 64
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 7 76
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 8 76
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 9 180
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 10 76
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 11 64
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 12 55
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 0 285
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 1 72
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 2 108
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 3 80
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 4 82
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 5 60
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 6 64
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 7 76
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 8 76
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 9 180
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 10 32
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 11 59
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 12 64
HKEY_CURRENT_USER\Software\Kazaa\LocalContent DisableSharing 0
HKEY_CURRENT_USER\Software\Kazaa\LocalContent DownloadDir D:\Programme\Sonstige\Shared Files
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter adult_filter_level 0
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter showDisableAdultFilter 1
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter virus_filter 0
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter firewall_filter 1
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter bogus_filter 1
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter custom_filter_phrases .scr, .vbs, .jpg.exe, .jpg.vbs, .avi.exe, .avi.vbs, .mp3.exe, .mp3.vbs, -fulldownloader, 3-fulldwnloader, -full-downloader, -games-fulldownloader, divx-fulldownloader, 3-full-dwnloader-
HKEY_CURRENT_USER\Software\Kazaa\Skins SkinsDir D:\Programme\Sonstige\Kazaa Lite K++\Skins
HKEY_CURRENT_USER\Software\Kazaa\SOCKS Enabled 0
HKEY_CURRENT_USER\Software\Kazaa\Transfer ConcurrentDownloads 15
HKEY_CURRENT_USER\Software\Kazaa\Transfer ConcurrentUploads 4
HKEY_CURRENT_USER\Software\Kazaa\Transfer UploadBandwidth 512
HKEY_CURRENT_USER\Software\Kazaa\Transfer NoUploadLimitWhenIdle 0
HKEY_CURRENT_USER\Software\Kazaa\Transfer CacheHost 0
HKEY_CURRENT_USER\Software\Kazaa\Transfer CachePort 1214
HKEY_CURRENT_USER\Software\Kazaa\Transfer CacheDiscoveryTime 1153264318
HKEY_CURRENT_USER\Software\Kazaa\Transfer DlDir0 D:\Programme\Sonstige\Shared Files
HKEY_CURRENT_USER\Software\Kazaa\UserDetails UserName Simon
HKEY_CURRENT_USER\Software\Kazaa\UserDetails Email user@kazaalite.kpp
HKEY_CURRENT_USER\Software\Kazaa\UserDetails Newsletter 0
HKEY_CURRENT_USER\Software\Kazaa\UserDetails AutoConnected 0
HKEY_CURRENT_USER\Software\Kazaa\UserDetails CountryCode US
HKEY_CURRENT_USER\Software\Kazaa LimitBitrate 0
HKEY_CURRENT_USER\Software\Kazaa LastSearchHash


CWS.HomeSearchAssistant Adware (General) more information...
Details: CWS.HomeSearchAssistant is a CoolWebSearch hijacker that changes the user's homepage and default search settings.
Status: Ignored

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa DisplayName Home Search Assistent
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa UninstallString rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/HomeSearchAssistant.html


WhenU.WeatherCast Low Risk Adware more information...
Details: WeatherCast is an ad supported desktop weather program that that puts an icon in the system tray displaying the local temperature. It also offers current weather data and forecasts. Weathercast is often bundled with the Save advertising program and/or th
Status: Ignored

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WeatherCast
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WeatherCast SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WeatherCast Changed 0


Looking-For.Home Search Assistant Hijacker more information...
Details: Home Search Assistant is an Internet Explorer browser helper object (BHO) that changes the user's home page and modifes search results. It also spawns pop-ups on the desktop.
Status: Ignored

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA DisplayName Home Search Assistent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA UninstallString rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/HomeSearchAssistant.html


Zlob.Media-Codec Trojan Downloader more information...
Status: Ignored

Infected registry entries detected
HKEY_CLASSES_ROOT\Media-Codec.Chl
HKEY_CLASSES_ROOT\Media-Codec.Chl\CLSID {6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_CLASSES_ROOT\vsenchancer.chl
HKEY_CLASSES_ROOT\vsenchancer.chl\CLSID {6BF52A52-394A-11D3-B153-00C04F79FAA6}


Advertising.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@advertising[1].txt


ATDMT.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@atdmt[2].txt


CGI-Bin Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@cgi-bin[2].txt


DoubleClick Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@doubleclick[1].txt


Mediaplex.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@mediaplex[1].txt


Radar Spy 1.0 Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@tradedoubler[1].txt


Weborama Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@weborama[2].txt


XXXCounter.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\papas\cookies\papas@xxxcounter[2].txt
Seitenanfang Seitenende
21.07.2006, 02:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 du hast alles ignoriert, !!!!!!!!!
stelle alles auf "remove"

du musst dieses ganze P2P-Zeug loeschen, wenn du Freude an deinem Rechner haben willst .

---------------

Counterspy killt immer nur einen Teil Dateien. Man muss also immer wieder den Quarantäne-Ordner von Counterspy leeren und wieder neu damit scannen, solange bis Counterspy nichts mehr findet
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.07.2006, 09:37
Member

Themenstarter

Beiträge: 36
#9 Hallo Sabina,

sorry wegen des Missverständnisses mit dem CounterSpy Scan. lch hatte in der Anleitung übersehen, dass für alle gefundenen Einträge die Option REMOVE gewählt werden sollte.

Ich habe erneut 2x mit Counter SPY gescant, beim 1. Scan wurde jede Menge gefunden und anschließend entfernt (Bericht s. unten), beim 2. Scan wurde nichts mehr gefunden:

CounterSpy has NOT detected any spyware on your computer.

Allerdings hat mir AntiVir Guard während oder nach dem 2. CounterSpy Scan angezeigt, dass das trojanische Pferd TR/PSW.Sinowal.D.3 gefunden worden ist.

Gibt es jetzt noch Prüfungen, die ich durchführen kann/soll?

Vielen Dank und viele Grüße
schmuseking


edit (Sabina)
Seitenanfang Seitenende
25.07.2006, 12:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 AboutBuster
Download Aboutbuster: http://www.spychecker.com/program/aboutbuster.html

Alle Dateien in einen Ordner entpacken
die Readme Datei lesen
starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)

4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".

poste hier das log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.07.2006, 02:24
Member

Themenstarter

Beiträge: 36
#11 Hallo Sabina,
vielen Dank für die weitere Betreuung im Forum.
Ich habe die Scans mit AboutBuster durchgeführt, 2 Mal im abgesicherten Mode.

Beim 1. Scan wurden sehr viele Dateien gefunden und gelöscht, beim 2. Scan wurde dann nichts mehr gefunden (LogFiles s. unten).

Ich möchte noch einen Hinweis zur Anleitung geben, weil dieser für andere Nutzer von AboutBuster sicher auch hilfreich ist:
9. Klicke auf "Save log" (speichere das Logfile):
Das geht nicht, weil es vom Programm nicht angeboten wird. Das Programm bietet vielmehr am Ende an: Donate oder Exit.
Beim Anwählen von Exit kommt ein Hinweis, dass automatisch ein Logfile im selben Ordner erzeugt wird und dass frühere Logfiles damit überschrieben werden.
Es ist also erforderlich, den Logfile vom 1. Scan umzubenennen, bevor man ein 2. Mal scannt, sonst ist die Information vom 1. Scan gelöscht.

Viele Grüße von
schmuseking


Viele liebe Grüße von
schmuseking

AboutBuster 6.04
Scan started on [26.07.2006] at [01:43:45]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
Removed File! : C:\WINDOWS\arkjr.dat
Removed File! : C:\WINDOWS\arltj.dat
Removed File! : C:\WINDOWS\azigf.dat
Removed File! : C:\WINDOWS\bfplm.dat
Removed File! : C:\WINDOWS\bsgdu.dat
Removed File! : C:\WINDOWS\bsltp.dat
Removed File! : C:\WINDOWS\dawuw.dat
Removed File! : C:\WINDOWS\dqiwq.dat
Removed File! : C:\WINDOWS\eimwo.dat
Removed File! : C:\WINDOWS\emuos.dat
Removed File! : C:\WINDOWS\ewlkz.dat
Removed File! : C:\WINDOWS\ezcgq.dat
Removed File! : C:\WINDOWS\fclrg.dat
Removed File! : C:\WINDOWS\ffzif.dat
Removed File! : C:\WINDOWS\fibze.dat
Removed File! : C:\WINDOWS\fitlz.dat
Removed File! : C:\WINDOWS\fiygo.dat
Removed File! : C:\WINDOWS\flwsj.dat
Removed File! : C:\WINDOWS\fovgt.dat
Removed File! : C:\WINDOWS\fuqkx.dat
Removed File! : C:\WINDOWS\fyvqi.dat
Removed File! : C:\WINDOWS\gcopk.dat
Removed File! : C:\WINDOWS\gdiru.dat
Removed File! : C:\WINDOWS\ggihb.dat
Removed File! : C:\WINDOWS\ggtmc.dat
Removed File! : C:\WINDOWS\ghlwa.dat
Removed File! : C:\WINDOWS\gpbjv.dat
Removed File! : C:\WINDOWS\guidi.dat
Removed File! : C:\WINDOWS\gvogi.dat
Removed File! : C:\WINDOWS\hbxfy.dat
Removed File! : C:\WINDOWS\hlrxf.dat
Removed File! : C:\WINDOWS\hmrxx.dat
Removed File! : C:\WINDOWS\htsit.dat
Removed File! : C:\WINDOWS\hwyjv.dat
Removed File! : C:\WINDOWS\iwwwt.dat
Removed File! : C:\WINDOWS\jttee.dat
Removed File! : C:\WINDOWS\jtuou.dat
Removed File! : C:\WINDOWS\jxbtk.dat
Removed File! : C:\WINDOWS\knddk.dat
Removed File! : C:\WINDOWS\koowk.dat
Removed File! : C:\WINDOWS\ksmlk.dat
Removed File! : C:\WINDOWS\kudvr.dat
Removed File! : C:\WINDOWS\leean.dat
Removed File! : C:\WINDOWS\lmuah.dat
Removed File! : C:\WINDOWS\lpcgj.dat
Removed File! : C:\WINDOWS\lshbp.dat
Removed File! : C:\WINDOWS\luuxz.dat
Removed File! : C:\WINDOWS\lyogw.dat
Removed File! : C:\WINDOWS\mdthd.dat
Removed File! : C:\WINDOWS\mifor.dat
Removed File! : C:\WINDOWS\mktad.dat
Removed File! : C:\WINDOWS\mlepz.dat
Removed File! : C:\WINDOWS\mtpnm.dat
Removed File! : C:\WINDOWS\ncyha.dat
Removed File! : C:\WINDOWS\nenbs.dat
Removed File! : C:\WINDOWS\nvvdi.dat
Removed File! : C:\WINDOWS\oeysq.dat
Removed File! : C:\WINDOWS\ofecb.dat
Removed File! : C:\WINDOWS\ofgxp.dat
Removed File! : C:\WINDOWS\olxid.dat
Removed File! : C:\WINDOWS\ozqmw.dat
Removed File! : C:\WINDOWS\pcvqo.dat
Removed File! : C:\WINDOWS\pdbej.dat
Removed File! : C:\WINDOWS\pfrka.dat
Removed File! : C:\WINDOWS\piztk.dat
Removed File! : C:\WINDOWS\pkavg.dat
Removed File! : C:\WINDOWS\ptjbh.dat
Removed File! : C:\WINDOWS\qfreo.dat
Removed File! : C:\WINDOWS\qicpj.dat
Removed File! : C:\WINDOWS\qtwcx.dat
Removed File! : C:\WINDOWS\qwssb.dat
Removed File! : C:\WINDOWS\rcbiz.dat
Removed File! : C:\WINDOWS\rhosv.dat
Removed File! : C:\WINDOWS\roijo.dat
Removed File! : C:\WINDOWS\rqdzr.dat
Removed File! : C:\WINDOWS\rrcqz.dat
Removed File! : C:\WINDOWS\rwdvt.dat
Removed File! : C:\WINDOWS\ryvla.dat
Removed File! : C:\WINDOWS\siegr.dat
Removed File! : C:\WINDOWS\sjaei.dat
Removed File! : C:\WINDOWS\tawxd.dat
Removed File! : C:\WINDOWS\teocj.dat
Removed File! : C:\WINDOWS\tfcfp.dat
Removed File! : C:\WINDOWS\tphch.dat
Removed File! : C:\WINDOWS\tsnph.dat
Removed File! : C:\WINDOWS\ufepj.dat
Removed File! : C:\WINDOWS\vdhuj.dat
Removed File! : C:\WINDOWS\vnerc.dat
Removed File! : C:\WINDOWS\vseif.dat
Removed File! : C:\WINDOWS\wbjjf.dat
Removed File! : C:\WINDOWS\wkdaz.dat
Removed File! : C:\WINDOWS\wqedb.dat
Removed File! : C:\WINDOWS\xdukc.dat
Removed File! : C:\WINDOWS\xhwqo.dat
Removed File! : C:\WINDOWS\xkzaj.dat
Removed File! : C:\WINDOWS\xupqz.dat
Removed File! : C:\WINDOWS\xzmtr.dat
Removed File! : C:\WINDOWS\yhbzb.dat
Removed File! : C:\WINDOWS\yhthr.dat
Removed File! : C:\WINDOWS\yyhws.dat
Removed File! : C:\WINDOWS\zffmn.dat
Removed File! : C:\WINDOWS\zijny.dat
Removed File! : C:\WINDOWS\zziwg.dat
Removed File! : C:\WINDOWS\System32\aohzt.dat
Removed File! : C:\WINDOWS\System32\atplf.dat
Removed File! : C:\WINDOWS\System32\bgecp.dat
Removed File! : C:\WINDOWS\System32\biwkh.dat
Removed File! : C:\WINDOWS\System32\bkdpn.dat
Removed File! : C:\WINDOWS\System32\blpds.dat
Removed File! : C:\WINDOWS\System32\bogfh.dat
Removed File! : C:\WINDOWS\System32\bohhz.dat
Removed File! : C:\WINDOWS\System32\bquys.dat
Removed File! : C:\WINDOWS\System32\budai.dat
Removed File! : C:\WINDOWS\System32\bvjvu.dat
Removed File! : C:\WINDOWS\System32\bvlen.dat
Removed File! : C:\WINDOWS\System32\bybte.dat
Removed File! : C:\WINDOWS\System32\coxvr.dat
Removed File! : C:\WINDOWS\System32\cqrkg.dat
Removed File! : C:\WINDOWS\System32\ctdfu.dat
Removed File! : C:\WINDOWS\System32\cuxta.dat
Removed File! : C:\WINDOWS\System32\cwqhm.dat
Removed File! : C:\WINDOWS\System32\drcsz.dat
Removed File! : C:\WINDOWS\System32\dslpc.dat
Removed File! : C:\WINDOWS\System32\eppkp.dat
Removed File! : C:\WINDOWS\System32\eqwax.dat
Removed File! : C:\WINDOWS\System32\eyrbb.dat
Removed File! : C:\WINDOWS\System32\eysmz.dat
Removed File! : C:\WINDOWS\System32\fbfco.dat
Removed File! : C:\WINDOWS\System32\feuqv.dat
Removed File! : C:\WINDOWS\System32\fqpaq.dat
Removed File! : C:\WINDOWS\System32\fyfzf.dat
Removed File! : C:\WINDOWS\System32\gcomv.dat
Removed File! : C:\WINDOWS\System32\gctif.dat
Removed File! : C:\WINDOWS\System32\gekkr.dat
Removed File! : C:\WINDOWS\System32\hddbd.dat
Removed File! : C:\WINDOWS\System32\hotih.dat
Removed File! : C:\WINDOWS\System32\hwouh.dat
Removed File! : C:\WINDOWS\System32\ieliv.dat
Removed File! : C:\WINDOWS\System32\ijipt.dat
Removed File! : C:\WINDOWS\System32\iowdz.dat
Removed File! : C:\WINDOWS\System32\ixmds.dat
Removed File! : C:\WINDOWS\System32\izhbn.dat
Removed File! : C:\WINDOWS\System32\jamgf.dat
Removed File! : C:\WINDOWS\System32\jdvso.dat
Removed File! : C:\WINDOWS\System32\jevgw.dat
Removed File! : C:\WINDOWS\System32\jfyot.dat
Removed File! : C:\WINDOWS\System32\jibgx.dat
Removed File! : C:\WINDOWS\System32\jjfro.dat
Removed File! : C:\WINDOWS\System32\jlnmb.dat
Removed File! : C:\WINDOWS\System32\jrxoj.dat
Removed File! : C:\WINDOWS\System32\jtfyg.dat
Removed File! : C:\WINDOWS\System32\kbqle.dat
Removed File! : C:\WINDOWS\System32\kdbcd.dat
Removed File! : C:\WINDOWS\System32\kgopb.dat
Removed File! : C:\WINDOWS\System32\kjqoa.dat
Removed File! : C:\WINDOWS\System32\kulfw.dat
Removed File! : C:\WINDOWS\System32\laqvz.dat
Removed File! : C:\WINDOWS\System32\lkbbm.dat
Removed File! : C:\WINDOWS\System32\llbwx.dat
Removed File! : C:\WINDOWS\System32\lnwrr.dat
Removed File! : C:\WINDOWS\System32\ltmlc.dat
Removed File! : C:\WINDOWS\System32\lusqy.dat
Removed File! : C:\WINDOWS\System32\lwnqb.dat
Removed File! : C:\WINDOWS\System32\mdgva.dat
Removed File! : C:\WINDOWS\System32\mqknn.dat
Removed File! : C:\WINDOWS\System32\mtaxy.dat
Removed File! : C:\WINDOWS\System32\mxxxh.dat
Removed File! : C:\WINDOWS\System32\nbwdq.dat
Removed File! : C:\WINDOWS\System32\ndpop.dat
Removed File! : C:\WINDOWS\System32\ndpqb.dat
Removed File! : C:\WINDOWS\System32\niszf.dat
Removed File! : C:\WINDOWS\System32\nqkhx.dat
Removed File! : C:\WINDOWS\System32\nzbzp.dat
Removed File! : C:\WINDOWS\System32\octjc.dat
Removed File! : C:\WINDOWS\System32\opsnl.dat
Removed File! : C:\WINDOWS\System32\perbg.dat
Removed File! : C:\WINDOWS\System32\pfbte.dat
Removed File! : C:\WINDOWS\System32\pkwvm.dat
Removed File! : C:\WINDOWS\System32\plbap.dat
Removed File! : C:\WINDOWS\System32\pryqt.dat
Removed File! : C:\WINDOWS\System32\putso.dat
Removed File! : C:\WINDOWS\System32\pvtpv.dat
Removed File! : C:\WINDOWS\System32\qaouw.dat
Removed File! : C:\WINDOWS\System32\qbbkg.dat
Removed File! : C:\WINDOWS\System32\qefpe.dat
Removed File! : C:\WINDOWS\System32\qkrkf.dat
Removed File! : C:\WINDOWS\System32\qywsd.dat
Removed File! : C:\WINDOWS\System32\raaxc.dat
Removed File! : C:\WINDOWS\System32\rcjey.dat
Removed File! : C:\WINDOWS\System32\rewqy.dat
Removed File! : C:\WINDOWS\System32\rlddw.dat
Removed File! : C:\WINDOWS\System32\rtahb.dat
Removed File! : C:\WINDOWS\System32\sbits.dat
Removed File! : C:\WINDOWS\System32\sccfm.dat
Removed File! : C:\WINDOWS\System32\seagx.dat
Removed File! : C:\WINDOWS\System32\seuzq.dat
Removed File! : C:\WINDOWS\System32\shsem.dat
Removed File! : C:\WINDOWS\System32\swmcy.dat
Removed File! : C:\WINDOWS\System32\szpfh.dat
Removed File! : C:\WINDOWS\System32\tdnnh.dat
Removed File! : C:\WINDOWS\System32\tdoic.dat
Removed File! : C:\WINDOWS\System32\tmjzk.dat
Removed File! : C:\WINDOWS\System32\tnshn.dat
Removed File! : C:\WINDOWS\System32\tolea.dat
Removed File! : C:\WINDOWS\System32\trgcs.dat
Removed File! : C:\WINDOWS\System32\twbir.dat
Removed File! : C:\WINDOWS\System32\ucyex.dat
Removed File! : C:\WINDOWS\System32\ujcza.dat
Removed File! : C:\WINDOWS\System32\vbpcj.dat
Removed File! : C:\WINDOWS\System32\vdmpi.dat
Removed File! : C:\WINDOWS\System32\vgxwr.dat
Removed File! : C:\WINDOWS\System32\vjjvf.dat
Removed File! : C:\WINDOWS\System32\vmrvo.dat
Removed File! : C:\WINDOWS\System32\vmtes.dat
Removed File! : C:\WINDOWS\System32\vskjr.dat
Removed File! : C:\WINDOWS\System32\vwrgr.dat
Removed File! : C:\WINDOWS\System32\wuhyh.dat
Removed File! : C:\WINDOWS\System32\wunkq.dat
Removed File! : C:\WINDOWS\System32\wxkwv.dat
Removed File! : C:\WINDOWS\System32\xjqif.dat
Removed File! : C:\WINDOWS\System32\xqmxu.dat
Removed File! : C:\WINDOWS\System32\xrevz.dat
Removed File! : C:\WINDOWS\System32\xrhwm.dat
Removed File! : C:\WINDOWS\System32\ygbzo.dat
Removed File! : C:\WINDOWS\System32\ylppi.dat
Removed File! : C:\WINDOWS\System32\ymfar.dat
Removed File! : C:\WINDOWS\System32\ynxcp.dat
Removed File! : C:\WINDOWS\System32\yprvr.dat
Removed File! : C:\WINDOWS\System32\ytrpd.dat
Removed File! : C:\WINDOWS\System32\zihiw.dat
Removed File! : C:\WINDOWS\System32\zsjbd.dat
Removed File! : C:\WINDOWS\System32\zwqxd.dat
-------------------------------------------------------------
Removed Temp Files
Internet Explorer Settings Reset!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 01:46:53


AboutBuster 6.04
Scan started on [26.07.2006] at [02:05:13]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 02:05:28
Seitenanfang Seitenende
26.07.2006, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ADSSpy.exe
http://www.spywareinfo.com/~merijn/downloads.html

1.
Klicke config -> Misc Tools -> Oeffne ADS spy -> quickscan
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.07.2006, 01:35
Member

Themenstarter

Beiträge: 36
#13 Hallo Sabina,
den Scan mit ADS Spy habe ich wie vorgeschlagen durchgeführt.

Allerdings komme ich direkt beim Starten von ADS Spy in ein Menu (nicht erst auf config), dort habe ich alle Felder abgewählt:
- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

Ich hoffe, das war so richtig.

Unten ist der Logfile.

Voelen Dank und beste Grüße von
schmuseking

C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\All Users\Dokumente\Speicher Nora\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Lisa\Eigene Dateien\Eigene Videos\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Nora\.jpi_cache\file\1.0\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Nora\Anwendungsdaten\Opera\Opera7\profile\cache4\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Nora\Eigene Dateien\Eigene Bilder\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Nora\Eigene Dateien\Meine empfangenen Dateien\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Nora\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Nora\Lokale Einstellungen\Anwendungsdaten\Microsoft\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Nora\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\KL01XUZR\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Papas\Eigene Dateien\Eigene Bilder\Thumbs.db : encryptable (0 bytes)
C:\Dokumente und Einstellungen\Papas\Eigene Dateien\ICQ Lite\311250994\elaschatzimausi_319413115\Thumbs.db : encryptable (0 bytes)
C:\Programme\BlubsterSupport\System\Images\Thumbs.db : encryptable (0 bytes)
C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc81\Thumbs.db : encryptable (0 bytes)
C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc86\Thumbs.db : encryptable (0 bytes)
C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc87\Thumbs.db : encryptable (0 bytes)
C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc88\Thumbs.db : encryptable (0 bytes)
C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc89\Thumbs.db : encryptable (0 bytes)
Seitenanfang Seitenende
27.07.2006, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 der ADSSpy ist in ordnung, also nichts loeschen

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.07.2006, 09:10
Member

Themenstarter

Beiträge: 36
#15 Hallo Sabina,

unten ist der Report des Scans mit Panda.

Allerdings ist der Report bezüglich der Viren nicht vollständig, da ich während des Scans einen unüberlegren Bedienungsfehler gemacht habe:
Es ging zwischendurch ein Pop-Up Fenster auf mit einem Hinweis auf den Kauf der Panda-Software, und solche Pop-Up Fenster ärgern mich immer, deswegen habe ich es weggeklickt. Danach konnte das Programm nur durch erneutes senden fortgeführt werden, allerdings musste der Scan dafür neu gestartet werden.

Zu diesem Zeitpunkt hatte Panda bereits 17 Viren gelöscht. Diese sind jetzt im Report nicht mit erwähnt. Sind sie vielleicht noch als temporäre Internet-Darei gespeichert, die ich nachsenden kann?

Während oder nach dem Panda Scan hat auch Antivir wieder einen Trojaner gefunden:
TR\PSW.Sinowal.V.27

So das war es soweit,

und ich Sage wiederum vielen Dank für die prima Betreuung im Forum,

viele Grüße von
schmuseking



Incident Status Location

Adware:adware/cws Not disinfected c:\dokumente und einstellungen\all users\favoriten\Download Free Spyware Remover.url
Spyware:spyware/betterinet Not disinfected c:\windows\inf\biini.inf
Adware:adware/cws.ns3 Not disinfected Windows Registry
Adware:adware/searchaid Not disinfected Windows Registry
Adware:adware/searchexe Not disinfected Windows Registry
Adware:adware/cws.aboutblank Not disinfected Windows Registry
Potentially unwanted tool:application/kill&clean Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Mozilla\Profiles\default\jis8apxd.slt\cookies.txt[.atwola.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@as1.falkag[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@atdmt[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@atwola[1].txt
Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@cs.sexcounter[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@doubleclick[1].txt
Spyware:Cookie/onestat.com Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@stat.onestat[2].txt
Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@weborama[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected D:\Programme\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected D:\Programme\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected D:\Programme D Downloads\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected D:\Programme D Downloads\smitRem.exe[smitRem/Process.exe]
Virus:Trojan Horse Disinfected D:\Speicher Nora\icqpw.zip[ICQ pwGrabber.exe]
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: