KillAndClean - ibm00001.exe, Maus hängt, Rechner piepst |
||
---|---|---|
#0
| ||
19.07.2006, 01:00
Member
Beiträge: 36 |
||
|
||
19.07.2006, 01:08
Ehrenmitglied
Beiträge: 29434 |
#2
schmuseking
1. stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten http://virus-protect.org/cleanup.html 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\1. Download FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten 3. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten 4. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 03:15
Member
Themenstarter Beiträge: 36 |
#3
Hallo Sabina,
vielen Dank für die schnelle Antwort. Ich habe alle Schritte so durchgeführt, wie sie beschrieben sind, Texte s.u. Beim Booten nach dem Programm Fixwareout wurde ich von Norton Antivirus (der läuft wohl noch beim Booten mit) auf folgendes hingewiesen: Bösartiges Skript entdeckt. Objekt: File System Object Aktivität: Open Text File Ihr Computer wurde angehalten. Folgendes Script muss geändert werden: c:\fixwareout\FindT\runs,vbc Ich habe dann die Option "Script autorisieren" gewählt. Beim datfindbat hatte ich das Programm zunächst auf der Partition d: (das sind meine Daten und Nicht-Windows-Programme) installiert, deshalb erhielt ich auch nur die Daten von d: Ich habe dann das Programm auch noch auf c: installiert und laufen lassen. Im Text unten stehen immer zuerst die Angaben zu c: und dann die zu d: Ich bin gespannt, was sich daraus ergibt, viele Grüße von schmuseking Datentr„ger in Laufwerk D: ist Daten Volumeseriennummer: 7029-82EF Verzeichnis von D:\Programme\Web2Pop 21.06.2005 23:46 <DIR> . 21.06.2005 23:46 <DIR> .. 23.02.2000 12:48 14.023 english.htm 15.12.1999 19:30 16.265 francais.htm 22.12.2003 10:42 399.872 Hotmail.dll 30.12.1999 19:46 406.528 Protect.dll 15.12.1999 19:33 3.863 readme.htm 09.03.2004 13:36 396.800 t-online.dll 27.05.2005 01:03 1.595 unins000.dat 17.12.2002 03:00 82.253 unins000.exe 27.05.2005 01:11 679 unins001.dat 17.12.2002 03:00 82.253 unins001.exe 30.12.1999 19:46 570.880 Web2pop.exe 30.12.1999 19:46 128 Web2Pop.key 10.09.2004 09:12 431.104 Yahoo.dll 13 Datei(en) 2.406.243 Bytes 2 Verzeichnis(se), 204.480.512 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 15.07.2006 20:25 <DIR> . 15.07.2006 20:25 <DIR> .. 19.05.2001 08:57 561.209 MSONSEXT.DLL 19.03.1999 22:46 127.032 MSOWS407.DLL 04.06.1999 15:09 122.937 MSOWS409.DLL 18.03.1999 07:37 593.977 RAGENT.DLL 4 Datei(en) 1.405.155 Bytes 2 Verzeichnis(se), 839.905.280 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Programme Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\WINDOWS\Downloaded Program Files 12.06.2002 13:16 112.312 ActiveData.dll 01.07.2003 10:58 241 CabSA.inf 06.07.2001 17:41 106.496 ChkDVD.dll 14.10.1997 19:52 697 DirectAnimation Java Classes.osd 07.06.2005 16:35 1.124.872 EPUWALcontrol.dll 09.05.2005 09:54 539 EPUWALcontrol.inf 28.03.2002 16:05 1.268 erma.inf 10.04.2000 18:12 1.765 fhg.inf 25.08.2003 19:12 1.096 iuctl.inf 20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd 30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf 14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx 01.07.2003 10:40 115.936 rufsi.dll 07.05.2003 13:56 289 Setup.inf 27.08.2005 14:30 5.065 swflash.inf 17.05.2004 10:05 156.792 SymAData.dll 11.08.2004 03:22 3.036 wmv9dmo.inf 30.06.2003 23:41 1.689 WMV9VCM.inf 26.05.2005 05:19 291 wuweb.inf 19 Datei(en) 1.747.437 Bytes 0 Verzeichnis(se), 839.905.280 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Dokumente und Einstellungen\Papas\Lokale Einstellungen\Temp 19.07.2006 02:27 <DIR> . 19.07.2006 02:27 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 839.905.280 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\WINDOWS\Temp 19.07.2006 02:24 <DIR> . 19.07.2006 02:24 <DIR> .. 09.03.2006 08:48 16.384 Perflib_Perfdata_6cc.dat 1 Datei(en) 16.384 Bytes 2 Verzeichnis(se), 839.905.280 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Temp 19.07.2006 02:24 <DIR> . 19.07.2006 02:24 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 839.905.280 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Programme 29.06.2006 10:10 <DIR> . 29.06.2006 10:10 <DIR> .. 14.09.2003 17:22 <DIR> Adobe 22.08.2004 11:25 <DIR> Ahead 15.05.2006 10:42 <DIR> AntiVir PersonalEdition Classic 14.05.2004 08:36 <DIR> BlubsterSupport 14.02.2004 18:32 <DIR> Caplio Software 12.02.2004 00:16 <DIR> Common Files 13.09.2003 15:45 <DIR> ComPlus Applications 27.02.2005 02:04 <DIR> Dell 16.09.2003 20:30 <DIR> directx 10.08.2004 09:54 <DIR> DivX 20.12.2003 10:33 <DIR> EZFace 19.02.2005 04:24 <DIR> Gemeinsame Dateien 05.01.2006 16:48 <DIR> Hewlett-Packard 05.01.2006 16:48 <DIR> hp deskjet 5550 series 29.06.2004 01:27 <DIR> Internet Explorer 30.10.2003 01:38 <DIR> Jasc Software Inc 26.09.2003 00:33 <DIR> Java 26.09.2003 00:17 <DIR> Java Web Start 13.09.2003 15:44 <DIR> Messenger 18.10.2003 15:39 <DIR> microsoft frontpage 18.10.2003 15:43 <DIR> Microsoft Visual Studio 20.02.2006 20:53 <DIR> Movie Maker 13.09.2003 15:45 <DIR> MSN 13.09.2003 15:44 <DIR> MSN Gaming Zone 19.04.2006 20:42 <DIR> MSN Messenger 27.02.2005 01:16 <DIR> Musicmatch 12.02.2005 00:59 <DIR> my-playlist 06.04.2005 00:32 <DIR> NavExcel 30.06.2006 07:37 <DIR> NavExcel Search Toolbar 25.02.2006 02:42 <DIR> NetMeeting 13.09.2003 15:45 <DIR> Online Services 13.09.2003 15:48 <DIR> Online-Dienste 29.06.2004 01:26 <DIR> Outlook Express 28.06.2006 11:18 <DIR> Safety Bar 07.01.2006 18:27 <DIR> Sony Ericsson 10.04.2004 10:11 <DIR> SpeedProject 29.06.2006 10:10 <DIR> SpywareQuake.com 11.09.2004 17:50 <DIR> Symantec 07.01.2006 19:32 <DIR> Usb to Seri*hier nicht!* Driver 1.12.25 26.09.2003 00:17 <DIR> Viewpoint 30.09.2003 11:38 <DIR> Winamp 23.02.2006 00:46 <DIR> Windows Media Player 13.09.2003 15:44 <DIR> Windows NT 26.12.2004 01:13 <DIR> WinRAR 13.09.2003 15:51 <DIR> xerox 0 Datei(en) 0 Bytes 47 Verzeichnis(se), 839.901.184 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Dokumente und Einstellungen\Papas\Lokale Einstellungen\Anwendungsdaten 05.05.2005 01:09 <DIR> Adobe 10.07.2006 23:52 324.096 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 24.02.2006 01:07 27.160 GDIPFONTCACHEV1.DAT 14.05.2005 16:21 <DIR> Help 09.06.2005 09:11 <DIR> Identities 11.04.2006 16:53 <DIR> Microsoft 2 Datei(en) 351.256 Bytes 4 Verzeichnis(se), 839.901.184 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Dokumente und Einstellungen\Papas\Anwendungsdaten 05.05.2005 01:09 <DIR> Adobe 05.05.2005 01:09 <DIR> AdobeUM 05.05.2005 01:56 <DIR> Help 22.08.2005 08:34 <DIR> ICQLite 05.05.2005 00:41 <DIR> Identities 05.05.2005 01:55 <DIR> Jasc Software Inc 05.05.2005 01:55 <DIR> Kazaa Lite 27.04.2006 16:02 5 kc.tmp 05.05.2005 01:28 <DIR> Macromedia 05.05.2005 01:58 <DIR> Mozilla 04.10.2005 10:03 <DIR> MSN6 05.05.2005 01:05 <DIR> Opera 05.05.2005 00:57 <DIR> Opera-Papas 06.10.2005 00:26 <DIR> Real 09.05.2005 23:43 <DIR> ROXIO 20.05.2005 14:38 <DIR> vlc 1 Datei(en) 5 Bytes 15 Verzeichnis(se), 839.901.184 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Programme\Gemeinsame Dateien 19.02.2005 04:24 <DIR> . 19.02.2005 04:24 <DIR> .. 14.09.2003 17:23 <DIR> Adobe 01.10.2003 11:30 <DIR> Ahead 18.10.2003 15:43 <DIR> Designer 13.09.2003 15:47 <DIR> Dienste 27.02.2005 01:20 <DIR> InstallShield 29.06.2004 01:26 <DIR> Microsoft Shared 26.09.2003 00:15 <DIR> mozilla.org 13.09.2003 15:47 <DIR> MSSoap 13.09.2003 16:35 <DIR> ODBC 19.02.2005 04:24 <DIR> Real 18.08.2004 18:41 <DIR> ROXIO 18.08.2004 18:41 <DIR> ROXIO Shared 13.09.2003 16:35 <DIR> SpeechEngines 30.10.2003 02:19 <DIR> SWF Studio 19.07.2006 02:25 <DIR> Symantec Shared 29.06.2004 01:26 <DIR> System 26.12.2004 00:42 <DIR> Wise Installation Wizard 19.02.2005 04:24 <DIR> xing shared 0 Datei(en) 0 Bytes 20 Verzeichnis(se), 839.897.088 Bytes frei Fixwareout ver 1.003 Last edited 07/1/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8BA6A85F369-6419-1A34-F628-BAB4EF7A{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EDC0F46AC8D0-9A0A-6834-CCF3-D8C1FB5B{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1EB73F4942E8-3CF9-1FF4-143D-D7462895{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A789FDAC7B6A-36B8-AC44-6B03-E4EE91F5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8E3FA990B43-2E4B-1E04-F3BB-79543078{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}22E6AECCD24C-ABD9-8054-1F0D-0BA6C203{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6CE595D70366-1F4B-A9C4-321B-7B9A68DC{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0E91ACC44AF3-E82A-ECC4-6954-2CA45F27{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}933C63F3D36C-9FF8-1674-C759-76BE5D19{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E32F0C86A4DB-9D0A-FDC4-F287-169B5C55{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D3CB3BA45D5-E55B-F584-6CD6-A8879B9C{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}244716C6E03C-00DB-E014-6477-C226E413{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD4403396870-116A-3904-8DA5-2B53365E{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}340100E4B119-7E6A-5984-0EEA-6BB7FD12{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3D27C76F0DBA-A2CA-9404-83AE-3FC41F11{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1A40BD9C3FE-C91A-4A54-B166-FC4DBFD5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C18C4BDE366C-B4FB-D714-54D8-8CD34177{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}177DBA59C987-6AB9-E624-3683-8D004FA0{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1793A45FD346-15CA-41E4-6EA9-C02AE400{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C92340B7768A-B37B-1744-4834-29C15954{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AE0F989842A9-55DB-3C24-BE20-E7A57DD3{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zxxmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif ... Random Runs removed from HKLM "dmxxz.exe"=- ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is legitimate »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal Other suspects Directory of C:\WINDOWS\system32 Fixwareout ver 1.003 Last edited 07/1/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8BA6A85F369-6419-1A34-F628-BAB4EF7A{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EDC0F46AC8D0-9A0A-6834-CCF3-D8C1FB5B{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1EB73F4942E8-3CF9-1FF4-143D-D7462895{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A789FDAC7B6A-36B8-AC44-6B03-E4EE91F5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8E3FA990B43-2E4B-1E04-F3BB-79543078{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}22E6AECCD24C-ABD9-8054-1F0D-0BA6C203{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6CE595D70366-1F4B-A9C4-321B-7B9A68DC{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0E91ACC44AF3-E82A-ECC4-6954-2CA45F27{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}933C63F3D36C-9FF8-1674-C759-76BE5D19{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E32F0C86A4DB-9D0A-FDC4-F287-169B5C55{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D3CB3BA45D5-E55B-F584-6CD6-A8879B9C{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}244716C6E03C-00DB-E014-6477-C226E413{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD4403396870-116A-3904-8DA5-2B53365E{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}340100E4B119-7E6A-5984-0EEA-6BB7FD12{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3D27C76F0DBA-A2CA-9404-83AE-3FC41F11{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1A40BD9C3FE-C91A-4A54-B166-FC4DBFD5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C18C4BDE366C-B4FB-D714-54D8-8CD34177{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}177DBA59C987-6AB9-E624-3683-8D004FA0{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1793A45FD346-15CA-41E4-6EA9-C02AE400{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C92340B7768A-B37B-1744-4834-29C15954{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AE0F989842A9-55DB-3C24-BE20-E7A57DD3{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zxxmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif ... Random Runs removed from HKLM "dmxxz.exe"=- ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is legitimate »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal Other suspects Directory of C:\WINDOWS\system32 Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\WINDOWS\system32 17.07.2006 19:25 1.956 d3d8caps.dat 08.07.2006 11:37 2.206 wpa.dbl 05.07.2006 09:18 50.443 QuickTime.qtp 29.06.2006 14:56 4.608 ismon.exe 09.06.2006 01:11 57.384 avsda.dll 26.03.2006 09:22 365.916 perfh009.dat 26.03.2006 09:22 59.966 perfc009.dat 26.03.2006 09:22 382.660 perfh007.dat 26.03.2006 09:22 70.080 perfc007.dat 26.03.2006 09:22 888.738 PerfStringBackup.INI 23.02.2006 00:50 153.176 FNTCACHE.DAT 23.02.2006 00:48 288 $winnt$.inf 23.02.2006 00:45 25.065 wmpscheme.xml 23.02.2006 00:45 16.832 amcompat.tlb 23.02.2006 00:45 23.392 nscompat.tlb 23.02.2006 00:44 488 logonui.exe.manifest 23.02.2006 00:44 488 WindowsLogon.manifest 23.02.2006 00:43 749 cdplayer.exe.manifest 23.02.2006 00:43 749 wuaucpl.cpl.manifest 23.02.2006 00:43 749 nwc.cpl.manifest 23.02.2006 00:43 749 sapi.cpl.manifest 23.02.2006 00:43 749 ncpa.cpl.manifest 23.02.2006 00:41 25.628 emptyregdb.dat 23.02.2006 00:40 525 mapisvc.inf 24.01.2006 19:34 118.784 sirenacm.dll Datentr„ger in Laufwerk D: ist Daten Volumeseriennummer: 7029-82EF Verzeichnis von D:\ 29.06.2006 23:57 1.428 sageset2005.reg 27.08.2005 00:04 0 23990098.$$$ Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\DOKUME~1\Papas\LOKALE~1\Temp 19.07.2006 02:32 0 WER119.tmp 23.01.2006 15:36 429 datFind.bat 2 Datei(en) 429 Bytes 0 Verzeichnis(se), 837.963.776 Bytes frei Datentr„ger in Laufwerk D: ist Daten Volumeseriennummer: 7029-82EF Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\ 19.07.2006 02:58 0 sys.txt 19.07.2006 02:57 1.097 system.txt 19.07.2006 02:53 1.097 systemtemp.txt 19.07.2006 02:50 110.715 system32.txt 19.07.2006 02:33 956.301.312 pagefile.sys 19.07.2006 02:28 9.258 files.txt 16.07.2006 03:01 40.961 hpfr5550.log 29.06.2006 23:57 3.685 smitfiles.txt 23.02.2006 00:33 194 boot.ini 20.10.2005 22:07 637.063.168 hiberfil.sys Datentr„ger in Laufwerk D: ist Daten Volumeseriennummer: 7029-82EF Verzeichnis von D:\ 29.06.2006 23:57 1.428 sageset2005.reg 27.08.2005 00:04 0 23990098.$$$ Verzeichnis von D:\ 29.06.2006 23:57 1.428 sageset2005.reg 27.08.2005 00:04 0 23990098.$$$ Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\WINDOWS 19.07.2006 02:41 1.407 win.ini 19.07.2006 02:34 0 0.log 19.07.2006 02:34 896.863 WindowsUpdate.log 19.07.2006 02:34 159 wiadebug.log 19.07.2006 02:34 50 wiaservc.log 19.07.2006 02:33 2.048 bootstat.dat 19.07.2006 02:32 32.592 SchedLgU.Txt 19.07.2006 00:00 191.682 setupact.log 18.07.2006 19:18 1.462.202 ntbtlog.txt 18.07.2006 15:36 938 Ulead32.ini 11.07.2006 01:35 3.222 tm.ini 10.07.2006 22:44 49 NeroDigital.ini 29.06.2006 09:36 0 setuperr.log 25.06.2006 20:04 121 Winamp.ini 16.06.2006 00:25 390.313 setupapi.log 10.05.2006 07:37 17.663 audiovie.ini 10.05.2006 07:18 4.947 cddabase.ini 11.04.2006 16:53 104.770 wmsetup.log 11.04.2006 16:53 231 wmsetup10.log 11.04.2006 16:53 316.640 WMSysPr9.prx 11.04.2006 16:52 299.552 WMSysPrx.prx 07.04.2006 16:03 124 tdf.dii 25.02.2006 02:43 696.881 iis6.log Datentr„ger in Laufwerk D: ist Daten Volumeseriennummer: 7029-82EF Verzeichnis von D:\ 29.06.2006 23:57 1.428 sageset2005.reg 27.08.2005 00:04 0 23990098.$$$ |
|
|
||
19.07.2006, 12:36
Ehrenmitglied
Beiträge: 29434 |
#4
0.
http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten ------------------------------------------------------------------------------------ 1. erstelle eine neu.bat und poste den text, beachte, dass alles vorherige wieder miterscheinen wird...kopiere nu diesen Teil Zitat cd\2. wende smitfraud.fix an (option 1 und 2 ...lasse auch die registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html poste die reports von option 1 und 2 hier -------------------------------------------------------------------------- 3. loesche: C:\WINDOWS\system32\ismon.exe C:\WINDOWS\system32\dmxxz.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe 4. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - {914D886E-65D1-8556-F0A8-8664275805BE} - iesetupdll.dll (file missing)** poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 01:33
Member
Themenstarter Beiträge: 36 |
#5
Hallo Sabina,
vielen vielen Dank für die Unterstützung, und das bei diesem heißen Wetter! Ich habe jetzt alle Schritte so gemacht, wie beschrieben, ergebnisse s. unten. zu 1. Aus der Datei files.txt habe ich nur die neuen Zeilen gepostet, ich hoffe, ich hatte das so richtig verstanden. Zu 3. die 3 DATEIEN waren nicht (mehr) auf dem Rechner zu finden. Zu 4. Auch hier waren schon beim 1. Scan nicht (mehr) alle Einträge vorhanden. Alle angegebenen vorhandenen Zeilen habe ich gefixt. Es wäre prima, wenn ich damit die Trojaner usw. los wäre. Ansonsten bitte ich noch einmal um weitere Hinweise Viele liebe Grüße von schmuseking 07/20/06 00:27:29 [Info]: BlackLight Engine 1.0.42 initialized 07/20/06 00:27:29 [Info]: OS: 5.1 build 2600 (Service Pack 1) 07/20/06 00:27:30 [Note]: 7019 4 07/20/06 00:27:30 [Note]: 7005 0 07/20/06 00:28:01 [Note]: 7006 0 07/20/06 00:28:01 [Note]: 7011 1772 07/20/06 00:28:01 [Note]: 7026 0 07/20/06 00:28:01 [Note]: 7026 0 07/20/06 00:28:22 [Note]: FSRAW library version 1.7.1019 07/20/06 00:28:51 [Note]: 2000 1006 07/20/06 00:29:27 [Note]: 7007 0 Verzeichnis von C:\Programme\NavExcel 06.04.2005 00:32 <DIR> . 06.04.2005 00:32 <DIR> .. 12.08.2005 01:09 <DIR> NavHelper 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 821.362.688 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Programme\NavExcel Search Toolbar 30.06.2006 07:37 <DIR> . 30.06.2006 07:37 <DIR> .. 06.04.2005 00:32 1.077 settings.dat 1 Datei(en) 1.077 Bytes 2 Verzeichnis(se), 821.362.688 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Programme\Safety Bar 28.06.2006 11:18 <DIR> . 28.06.2006 11:18 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 821.362.688 Bytes frei Datentr„ger in Laufwerk C: ist Systemprogramme Volumeseriennummer: A4A2-64CE Verzeichnis von C:\Programme\SpywareQuake.com 29.06.2006 10:10 <DIR> . 29.06.2006 10:10 <DIR> .. 29.06.2006 10:05 356 sq.ini 1 Datei(en) 356 Bytes 2 Verzeichnis(se), 821.362.688 Bytes frei SmitFraudFix v2.74 Scan done at 0:50:50,89, 20.07.2006 Run from D:\Programme\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\ismon.exe Deleted C:\WINDOWS\system32\components\flx?.dll Deleted C:\WINDOWS\system32\components\flx??.dll Deleted C:\Programme\SpywareQuake.com\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Logfile of HijackThis v1.99.0 Scan saved at 01:18:47, on 20.07.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\inetsrv\inetinfo.exe D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe D:\PROGRA~1\VOLUME~2\MT\MT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\svchost.exe D:\Speicher Nora\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe D:\Programme\EnhanceKeyboard\kb_2k.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe D:\Programme\WinAce\WinAce.exe C:\DOKUME~1\Papas\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QD FastAndSafe] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Meine Traffic] D:\PROGRA~1\VOLUME~2\MT\MT.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] D:\Speicher Nora\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Web2Pop] REM D:\Programme\Web2Pop\Web2pop.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [AutoStart-Manager 2006] "D:\Programme\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O4 - Global Startup: enhanced keyboard driver.lnk = ? O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Broken Internet access because of LSP provider 'd:\julias müll\netlimiter\nl_lsp.dll' missing O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140820799025 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: ewido security suite control - ewido networks - D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
20.07.2006, 11:27
Ehrenmitglied
Beiträge: 29434 |
#6
1.
deinstalliere, loesche: C:\Programme\NavExcel\NavHelper C:\Programme\NavExcel C:\Programme\NavExcel Search Toolbar\settings.dat C:\Programme\NavExcel Search Toolbar C:\Programme\Safety Bar ------------------------------------------------------------ 2. fixe mit dem HijackThis: O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" ----------------------------------------------------------- 3. scanne mit counterspy und poste den scanreport http://virus-protect.org/counterspy.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 02:36
Member
Themenstarter Beiträge: 36 |
#7
Hallo Sabina,
vielen Dank für die weitere Unterstützung und die zusätzlichen Anleitungen. Ich habe alles so gemacht wie vorgeschlagen, und unten ist der Scanreport vom Counterspy-Scan. Ich habe bei der Installation folgende Optionen zunächst nicht gewählt: - Next scheduled scan - Active Protection - Automaric Updates Wenn ich hier etwas anders einstellen soll, mache ich das natürlich gerne. Zum Status des Rechners möchte ich noch berichten, dass das Hängen der Maus und das zusätzliche Piepsen noch da sind, weitere Fehlermeldungen vom Antivir habe ich nicht mehr erhalten. Wenn sich Aktionen aus dem Counterspy-Scan ergeben, so werde ich diese gerne durchführen. Viele liebe Güße von schmuseking Spyware Scan Details Start Date: 21.07.2006 01:15:54 End Date: 21.07.2006 02:16:45 Total Time: 1 hrs 51 secs Detected spyware Grokster P2P Program more information... Details: Grokster is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives. Status: Ignored Infected files detected C:\Programme\BlubsterSupport\System\System\system.dls KaZaA P2P Program more information... Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives. Status: Ignored Infected registry entries detected HKEY_CURRENT_USER\Software\Kazaa HKEY_CURRENT_USER\Software\Kazaa\Advanced MaxSearchResult 200 HKEY_CURRENT_USER\Software\Kazaa\Advanced SuperNode 0 HKEY_CURRENT_USER\Software\Kazaa\Advanced ScanFolder 0 HKEY_CURRENT_USER\Software\Kazaa\InstantMessaging IgnoreAll 0 HKEY_CURRENT_USER\Software\Kazaa\InstantMessaging IgnoredUsers HKEY_CURRENT_USER\Software\Kazaa\k-lite InstallSig 6 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 0 207 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 1 78 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 2 108 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 3 80 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 4 82 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 5 60 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 6 64 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 7 76 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 8 59 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 9 64 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 10 79 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\AudioWidth 11 180 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Video 0,1,2,3,4,5,6,7,8,9,10, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder All 0,1,2,3,4,5,6,7, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Audio 0,1,2,3,4,5,6,7,8,9, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Software 0,1,2,3,4,5,6,7,8, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Document 0,1,2,3,4,5,6,7,8,9, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnOrder Image 0,1,2,3,4,5,6,7,8,9, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Video 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 All 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Audio 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Software 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Document 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates1 Image 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Video 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 All 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Audio 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Software 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Document 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnSortStates2 Image 0 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Video 153,57,98,75,70,52,70,78,75,70,245, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths All 153,57,98,70,75,70,75,245, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Audio 153,57,98,70,75,52,49,78,38,75, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Software 153,57,98,75,70,70,70,75,245, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Document 153,57,98,75,70,78,70,70,75,245, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\ColumnWidths Image 153,57,98,70,75,70,70,70,75,245, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Video -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,- HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns All -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1, HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Audio -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,- HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Software -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,- HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Document -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,- HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\CombinedSortedColumns Image -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,- HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 0 110 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 1 49 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 2 136 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 3 136 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 4 216 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 5 268 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 6 182 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 7 111 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\Download Width 8 13 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 0 189 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 1 72 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 2 108 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 3 80 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 4 204 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 5 60 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 6 64 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 7 60 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 8 76 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\EverythingWidth 9 180 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 0 151 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 1 72 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 2 108 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 3 80 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 4 82 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 5 60 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 6 64 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 7 76 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 8 76 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 9 180 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 10 76 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 11 64 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\PictureWidth 12 55 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 0 285 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 1 72 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 2 108 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 3 80 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 4 82 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 5 60 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 6 64 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 7 76 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 8 76 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 9 180 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 10 32 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 11 59 HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++\VideoWidth 12 64 HKEY_CURRENT_USER\Software\Kazaa\LocalContent DisableSharing 0 HKEY_CURRENT_USER\Software\Kazaa\LocalContent DownloadDir D:\Programme\Sonstige\Shared Files HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter adult_filter_level 0 HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter showDisableAdultFilter 1 HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter virus_filter 0 HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter firewall_filter 1 HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter bogus_filter 1 HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter custom_filter_phrases .scr, .vbs, .jpg.exe, .jpg.vbs, .avi.exe, .avi.vbs, .mp3.exe, .mp3.vbs, -fulldownloader, 3-fulldwnloader, -full-downloader, -games-fulldownloader, divx-fulldownloader, 3-full-dwnloader- HKEY_CURRENT_USER\Software\Kazaa\Skins SkinsDir D:\Programme\Sonstige\Kazaa Lite K++\Skins HKEY_CURRENT_USER\Software\Kazaa\SOCKS Enabled 0 HKEY_CURRENT_USER\Software\Kazaa\Transfer ConcurrentDownloads 15 HKEY_CURRENT_USER\Software\Kazaa\Transfer ConcurrentUploads 4 HKEY_CURRENT_USER\Software\Kazaa\Transfer UploadBandwidth 512 HKEY_CURRENT_USER\Software\Kazaa\Transfer NoUploadLimitWhenIdle 0 HKEY_CURRENT_USER\Software\Kazaa\Transfer CacheHost 0 HKEY_CURRENT_USER\Software\Kazaa\Transfer CachePort 1214 HKEY_CURRENT_USER\Software\Kazaa\Transfer CacheDiscoveryTime 1153264318 HKEY_CURRENT_USER\Software\Kazaa\Transfer DlDir0 D:\Programme\Sonstige\Shared Files HKEY_CURRENT_USER\Software\Kazaa\UserDetails UserName Simon HKEY_CURRENT_USER\Software\Kazaa\UserDetails Email user@kazaalite.kpp HKEY_CURRENT_USER\Software\Kazaa\UserDetails Newsletter 0 HKEY_CURRENT_USER\Software\Kazaa\UserDetails AutoConnected 0 HKEY_CURRENT_USER\Software\Kazaa\UserDetails CountryCode US HKEY_CURRENT_USER\Software\Kazaa LimitBitrate 0 HKEY_CURRENT_USER\Software\Kazaa LastSearchHash CWS.HomeSearchAssistant Adware (General) more information... Details: CWS.HomeSearchAssistant is a CoolWebSearch hijacker that changes the user's homepage and default search settings. Status: Ignored Infected registry entries detected HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa DisplayName Home Search Assistent HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa UninstallString rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/HomeSearchAssistant.html WhenU.WeatherCast Low Risk Adware more information... Details: WeatherCast is an ad supported desktop weather program that that puts an icon in the system tray displaying the local temperature. It also offers current weather data and forecasts. Weathercast is often bundled with the Save advertising program and/or th Status: Ignored Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WeatherCast HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WeatherCast SlowInfoCache HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WeatherCast Changed 0 Looking-For.Home Search Assistant Hijacker more information... Details: Home Search Assistant is an Internet Explorer browser helper object (BHO) that changes the user's home page and modifes search results. It also spawns pop-ups on the desktop. Status: Ignored Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA DisplayName Home Search Assistent HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA UninstallString rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/HomeSearchAssistant.html Zlob.Media-Codec Trojan Downloader more information... Status: Ignored Infected registry entries detected HKEY_CLASSES_ROOT\Media-Codec.Chl HKEY_CLASSES_ROOT\Media-Codec.Chl\CLSID {6BF52A52-394A-11D3-B153-00C04F79FAA6} HKEY_CLASSES_ROOT\vsenchancer.chl HKEY_CLASSES_ROOT\vsenchancer.chl\CLSID {6BF52A52-394A-11D3-B153-00C04F79FAA6} Advertising.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@advertising[1].txt ATDMT.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@atdmt[2].txt CGI-Bin Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@cgi-bin[2].txt DoubleClick Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@doubleclick[1].txt Mediaplex.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@mediaplex[1].txt Radar Spy 1.0 Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@tradedoubler[1].txt Weborama Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@weborama[2].txt XXXCounter.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Ignored Infected cookies detected c:\dokumente und einstellungen\papas\cookies\papas@xxxcounter[2].txt |
|
|
||
21.07.2006, 02:38
Ehrenmitglied
Beiträge: 29434 |
#8
du hast alles ignoriert, !!!!!!!!!
stelle alles auf "remove" du musst dieses ganze P2P-Zeug loeschen, wenn du Freude an deinem Rechner haben willst . --------------- Counterspy killt immer nur einen Teil Dateien. Man muss also immer wieder den Quarantäne-Ordner von Counterspy leeren und wieder neu damit scannen, solange bis Counterspy nichts mehr findet __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.07.2006, 09:37
Member
Themenstarter Beiträge: 36 |
#9
Hallo Sabina,
sorry wegen des Missverständnisses mit dem CounterSpy Scan. lch hatte in der Anleitung übersehen, dass für alle gefundenen Einträge die Option REMOVE gewählt werden sollte. Ich habe erneut 2x mit Counter SPY gescant, beim 1. Scan wurde jede Menge gefunden und anschließend entfernt (Bericht s. unten), beim 2. Scan wurde nichts mehr gefunden: CounterSpy has NOT detected any spyware on your computer. Allerdings hat mir AntiVir Guard während oder nach dem 2. CounterSpy Scan angezeigt, dass das trojanische Pferd TR/PSW.Sinowal.D.3 gefunden worden ist. Gibt es jetzt noch Prüfungen, die ich durchführen kann/soll? Vielen Dank und viele Grüße schmuseking edit (Sabina) |
|
|
||
25.07.2006, 12:16
Ehrenmitglied
Beiträge: 29434 |
#10
AboutBuster
Download Aboutbuster: http://www.spychecker.com/program/aboutbuster.html Alle Dateien in einen Ordner entpacken die Readme Datei lesen starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet) 4. Klicke auf "Start". (Warte bis der initiale ADS Scan fertig ist.) 5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. (Warte bis der about:blank Scan fertig ist.) 6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen. 7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. 8. Klicke auf "Yes", um die zweite Runde zu beginnen. 9. Klicke auf "Save log" (speichere das Logfile). 10. Klicke auf "Exit". poste hier das log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.07.2006, 02:24
Member
Themenstarter Beiträge: 36 |
#11
Hallo Sabina,
vielen Dank für die weitere Betreuung im Forum. Ich habe die Scans mit AboutBuster durchgeführt, 2 Mal im abgesicherten Mode. Beim 1. Scan wurden sehr viele Dateien gefunden und gelöscht, beim 2. Scan wurde dann nichts mehr gefunden (LogFiles s. unten). Ich möchte noch einen Hinweis zur Anleitung geben, weil dieser für andere Nutzer von AboutBuster sicher auch hilfreich ist: 9. Klicke auf "Save log" (speichere das Logfile): Das geht nicht, weil es vom Programm nicht angeboten wird. Das Programm bietet vielmehr am Ende an: Donate oder Exit. Beim Anwählen von Exit kommt ein Hinweis, dass automatisch ein Logfile im selben Ordner erzeugt wird und dass frühere Logfiles damit überschrieben werden. Es ist also erforderlich, den Logfile vom 1. Scan umzubenennen, bevor man ein 2. Mal scannt, sonst ist die Information vom 1. Scan gelöscht. Viele Grüße von schmuseking Viele liebe Grüße von schmuseking AboutBuster 6.04 Scan started on [26.07.2006] at [01:43:45] ------------------------------------------------------------- Internet Explorer Instances Terminated! HomeSearch Service stopped if present ------------------------------------------------------------- No Ads Found! ------------------------------------------------------------- Removed File! : C:\WINDOWS\arkjr.dat Removed File! : C:\WINDOWS\arltj.dat Removed File! : C:\WINDOWS\azigf.dat Removed File! : C:\WINDOWS\bfplm.dat Removed File! : C:\WINDOWS\bsgdu.dat Removed File! : C:\WINDOWS\bsltp.dat Removed File! : C:\WINDOWS\dawuw.dat Removed File! : C:\WINDOWS\dqiwq.dat Removed File! : C:\WINDOWS\eimwo.dat Removed File! : C:\WINDOWS\emuos.dat Removed File! : C:\WINDOWS\ewlkz.dat Removed File! : C:\WINDOWS\ezcgq.dat Removed File! : C:\WINDOWS\fclrg.dat Removed File! : C:\WINDOWS\ffzif.dat Removed File! : C:\WINDOWS\fibze.dat Removed File! : C:\WINDOWS\fitlz.dat Removed File! : C:\WINDOWS\fiygo.dat Removed File! : C:\WINDOWS\flwsj.dat Removed File! : C:\WINDOWS\fovgt.dat Removed File! : C:\WINDOWS\fuqkx.dat Removed File! : C:\WINDOWS\fyvqi.dat Removed File! : C:\WINDOWS\gcopk.dat Removed File! : C:\WINDOWS\gdiru.dat Removed File! : C:\WINDOWS\ggihb.dat Removed File! : C:\WINDOWS\ggtmc.dat Removed File! : C:\WINDOWS\ghlwa.dat Removed File! : C:\WINDOWS\gpbjv.dat Removed File! : C:\WINDOWS\guidi.dat Removed File! : C:\WINDOWS\gvogi.dat Removed File! : C:\WINDOWS\hbxfy.dat Removed File! : C:\WINDOWS\hlrxf.dat Removed File! : C:\WINDOWS\hmrxx.dat Removed File! : C:\WINDOWS\htsit.dat Removed File! : C:\WINDOWS\hwyjv.dat Removed File! : C:\WINDOWS\iwwwt.dat Removed File! : C:\WINDOWS\jttee.dat Removed File! : C:\WINDOWS\jtuou.dat Removed File! : C:\WINDOWS\jxbtk.dat Removed File! : C:\WINDOWS\knddk.dat Removed File! : C:\WINDOWS\koowk.dat Removed File! : C:\WINDOWS\ksmlk.dat Removed File! : C:\WINDOWS\kudvr.dat Removed File! : C:\WINDOWS\leean.dat Removed File! : C:\WINDOWS\lmuah.dat Removed File! : C:\WINDOWS\lpcgj.dat Removed File! : C:\WINDOWS\lshbp.dat Removed File! : C:\WINDOWS\luuxz.dat Removed File! : C:\WINDOWS\lyogw.dat Removed File! : C:\WINDOWS\mdthd.dat Removed File! : C:\WINDOWS\mifor.dat Removed File! : C:\WINDOWS\mktad.dat Removed File! : C:\WINDOWS\mlepz.dat Removed File! : C:\WINDOWS\mtpnm.dat Removed File! : C:\WINDOWS\ncyha.dat Removed File! : C:\WINDOWS\nenbs.dat Removed File! : C:\WINDOWS\nvvdi.dat Removed File! : C:\WINDOWS\oeysq.dat Removed File! : C:\WINDOWS\ofecb.dat Removed File! : C:\WINDOWS\ofgxp.dat Removed File! : C:\WINDOWS\olxid.dat Removed File! : C:\WINDOWS\ozqmw.dat Removed File! : C:\WINDOWS\pcvqo.dat Removed File! : C:\WINDOWS\pdbej.dat Removed File! : C:\WINDOWS\pfrka.dat Removed File! : C:\WINDOWS\piztk.dat Removed File! : C:\WINDOWS\pkavg.dat Removed File! : C:\WINDOWS\ptjbh.dat Removed File! : C:\WINDOWS\qfreo.dat Removed File! : C:\WINDOWS\qicpj.dat Removed File! : C:\WINDOWS\qtwcx.dat Removed File! : C:\WINDOWS\qwssb.dat Removed File! : C:\WINDOWS\rcbiz.dat Removed File! : C:\WINDOWS\rhosv.dat Removed File! : C:\WINDOWS\roijo.dat Removed File! : C:\WINDOWS\rqdzr.dat Removed File! : C:\WINDOWS\rrcqz.dat Removed File! : C:\WINDOWS\rwdvt.dat Removed File! : C:\WINDOWS\ryvla.dat Removed File! : C:\WINDOWS\siegr.dat Removed File! : C:\WINDOWS\sjaei.dat Removed File! : C:\WINDOWS\tawxd.dat Removed File! : C:\WINDOWS\teocj.dat Removed File! : C:\WINDOWS\tfcfp.dat Removed File! : C:\WINDOWS\tphch.dat Removed File! : C:\WINDOWS\tsnph.dat Removed File! : C:\WINDOWS\ufepj.dat Removed File! : C:\WINDOWS\vdhuj.dat Removed File! : C:\WINDOWS\vnerc.dat Removed File! : C:\WINDOWS\vseif.dat Removed File! : C:\WINDOWS\wbjjf.dat Removed File! : C:\WINDOWS\wkdaz.dat Removed File! : C:\WINDOWS\wqedb.dat Removed File! : C:\WINDOWS\xdukc.dat Removed File! : C:\WINDOWS\xhwqo.dat Removed File! : C:\WINDOWS\xkzaj.dat Removed File! : C:\WINDOWS\xupqz.dat Removed File! : C:\WINDOWS\xzmtr.dat Removed File! : C:\WINDOWS\yhbzb.dat Removed File! : C:\WINDOWS\yhthr.dat Removed File! : C:\WINDOWS\yyhws.dat Removed File! : C:\WINDOWS\zffmn.dat Removed File! : C:\WINDOWS\zijny.dat Removed File! : C:\WINDOWS\zziwg.dat Removed File! : C:\WINDOWS\System32\aohzt.dat Removed File! : C:\WINDOWS\System32\atplf.dat Removed File! : C:\WINDOWS\System32\bgecp.dat Removed File! : C:\WINDOWS\System32\biwkh.dat Removed File! : C:\WINDOWS\System32\bkdpn.dat Removed File! : C:\WINDOWS\System32\blpds.dat Removed File! : C:\WINDOWS\System32\bogfh.dat Removed File! : C:\WINDOWS\System32\bohhz.dat Removed File! : C:\WINDOWS\System32\bquys.dat Removed File! : C:\WINDOWS\System32\budai.dat Removed File! : C:\WINDOWS\System32\bvjvu.dat Removed File! : C:\WINDOWS\System32\bvlen.dat Removed File! : C:\WINDOWS\System32\bybte.dat Removed File! : C:\WINDOWS\System32\coxvr.dat Removed File! : C:\WINDOWS\System32\cqrkg.dat Removed File! : C:\WINDOWS\System32\ctdfu.dat Removed File! : C:\WINDOWS\System32\cuxta.dat Removed File! : C:\WINDOWS\System32\cwqhm.dat Removed File! : C:\WINDOWS\System32\drcsz.dat Removed File! : C:\WINDOWS\System32\dslpc.dat Removed File! : C:\WINDOWS\System32\eppkp.dat Removed File! : C:\WINDOWS\System32\eqwax.dat Removed File! : C:\WINDOWS\System32\eyrbb.dat Removed File! : C:\WINDOWS\System32\eysmz.dat Removed File! : C:\WINDOWS\System32\fbfco.dat Removed File! : C:\WINDOWS\System32\feuqv.dat Removed File! : C:\WINDOWS\System32\fqpaq.dat Removed File! : C:\WINDOWS\System32\fyfzf.dat Removed File! : C:\WINDOWS\System32\gcomv.dat Removed File! : C:\WINDOWS\System32\gctif.dat Removed File! : C:\WINDOWS\System32\gekkr.dat Removed File! : C:\WINDOWS\System32\hddbd.dat Removed File! : C:\WINDOWS\System32\hotih.dat Removed File! : C:\WINDOWS\System32\hwouh.dat Removed File! : C:\WINDOWS\System32\ieliv.dat Removed File! : C:\WINDOWS\System32\ijipt.dat Removed File! : C:\WINDOWS\System32\iowdz.dat Removed File! : C:\WINDOWS\System32\ixmds.dat Removed File! : C:\WINDOWS\System32\izhbn.dat Removed File! : C:\WINDOWS\System32\jamgf.dat Removed File! : C:\WINDOWS\System32\jdvso.dat Removed File! : C:\WINDOWS\System32\jevgw.dat Removed File! : C:\WINDOWS\System32\jfyot.dat Removed File! : C:\WINDOWS\System32\jibgx.dat Removed File! : C:\WINDOWS\System32\jjfro.dat Removed File! : C:\WINDOWS\System32\jlnmb.dat Removed File! : C:\WINDOWS\System32\jrxoj.dat Removed File! : C:\WINDOWS\System32\jtfyg.dat Removed File! : C:\WINDOWS\System32\kbqle.dat Removed File! : C:\WINDOWS\System32\kdbcd.dat Removed File! : C:\WINDOWS\System32\kgopb.dat Removed File! : C:\WINDOWS\System32\kjqoa.dat Removed File! : C:\WINDOWS\System32\kulfw.dat Removed File! : C:\WINDOWS\System32\laqvz.dat Removed File! : C:\WINDOWS\System32\lkbbm.dat Removed File! : C:\WINDOWS\System32\llbwx.dat Removed File! : C:\WINDOWS\System32\lnwrr.dat Removed File! : C:\WINDOWS\System32\ltmlc.dat Removed File! : C:\WINDOWS\System32\lusqy.dat Removed File! : C:\WINDOWS\System32\lwnqb.dat Removed File! : C:\WINDOWS\System32\mdgva.dat Removed File! : C:\WINDOWS\System32\mqknn.dat Removed File! : C:\WINDOWS\System32\mtaxy.dat Removed File! : C:\WINDOWS\System32\mxxxh.dat Removed File! : C:\WINDOWS\System32\nbwdq.dat Removed File! : C:\WINDOWS\System32\ndpop.dat Removed File! : C:\WINDOWS\System32\ndpqb.dat Removed File! : C:\WINDOWS\System32\niszf.dat Removed File! : C:\WINDOWS\System32\nqkhx.dat Removed File! : C:\WINDOWS\System32\nzbzp.dat Removed File! : C:\WINDOWS\System32\octjc.dat Removed File! : C:\WINDOWS\System32\opsnl.dat Removed File! : C:\WINDOWS\System32\perbg.dat Removed File! : C:\WINDOWS\System32\pfbte.dat Removed File! : C:\WINDOWS\System32\pkwvm.dat Removed File! : C:\WINDOWS\System32\plbap.dat Removed File! : C:\WINDOWS\System32\pryqt.dat Removed File! : C:\WINDOWS\System32\putso.dat Removed File! : C:\WINDOWS\System32\pvtpv.dat Removed File! : C:\WINDOWS\System32\qaouw.dat Removed File! : C:\WINDOWS\System32\qbbkg.dat Removed File! : C:\WINDOWS\System32\qefpe.dat Removed File! : C:\WINDOWS\System32\qkrkf.dat Removed File! : C:\WINDOWS\System32\qywsd.dat Removed File! : C:\WINDOWS\System32\raaxc.dat Removed File! : C:\WINDOWS\System32\rcjey.dat Removed File! : C:\WINDOWS\System32\rewqy.dat Removed File! : C:\WINDOWS\System32\rlddw.dat Removed File! : C:\WINDOWS\System32\rtahb.dat Removed File! : C:\WINDOWS\System32\sbits.dat Removed File! : C:\WINDOWS\System32\sccfm.dat Removed File! : C:\WINDOWS\System32\seagx.dat Removed File! : C:\WINDOWS\System32\seuzq.dat Removed File! : C:\WINDOWS\System32\shsem.dat Removed File! : C:\WINDOWS\System32\swmcy.dat Removed File! : C:\WINDOWS\System32\szpfh.dat Removed File! : C:\WINDOWS\System32\tdnnh.dat Removed File! : C:\WINDOWS\System32\tdoic.dat Removed File! : C:\WINDOWS\System32\tmjzk.dat Removed File! : C:\WINDOWS\System32\tnshn.dat Removed File! : C:\WINDOWS\System32\tolea.dat Removed File! : C:\WINDOWS\System32\trgcs.dat Removed File! : C:\WINDOWS\System32\twbir.dat Removed File! : C:\WINDOWS\System32\ucyex.dat Removed File! : C:\WINDOWS\System32\ujcza.dat Removed File! : C:\WINDOWS\System32\vbpcj.dat Removed File! : C:\WINDOWS\System32\vdmpi.dat Removed File! : C:\WINDOWS\System32\vgxwr.dat Removed File! : C:\WINDOWS\System32\vjjvf.dat Removed File! : C:\WINDOWS\System32\vmrvo.dat Removed File! : C:\WINDOWS\System32\vmtes.dat Removed File! : C:\WINDOWS\System32\vskjr.dat Removed File! : C:\WINDOWS\System32\vwrgr.dat Removed File! : C:\WINDOWS\System32\wuhyh.dat Removed File! : C:\WINDOWS\System32\wunkq.dat Removed File! : C:\WINDOWS\System32\wxkwv.dat Removed File! : C:\WINDOWS\System32\xjqif.dat Removed File! : C:\WINDOWS\System32\xqmxu.dat Removed File! : C:\WINDOWS\System32\xrevz.dat Removed File! : C:\WINDOWS\System32\xrhwm.dat Removed File! : C:\WINDOWS\System32\ygbzo.dat Removed File! : C:\WINDOWS\System32\ylppi.dat Removed File! : C:\WINDOWS\System32\ymfar.dat Removed File! : C:\WINDOWS\System32\ynxcp.dat Removed File! : C:\WINDOWS\System32\yprvr.dat Removed File! : C:\WINDOWS\System32\ytrpd.dat Removed File! : C:\WINDOWS\System32\zihiw.dat Removed File! : C:\WINDOWS\System32\zsjbd.dat Removed File! : C:\WINDOWS\System32\zwqxd.dat ------------------------------------------------------------- Removed Temp Files Internet Explorer Settings Reset! ------------------------------------------------------------- Scan was COMPLETED SUCCESSFULLY at 01:46:53 AboutBuster 6.04 Scan started on [26.07.2006] at [02:05:13] ------------------------------------------------------------- Internet Explorer Instances Terminated! HomeSearch Service stopped if present ------------------------------------------------------------- No Ads Found! ------------------------------------------------------------- No Files Found! ------------------------------------------------------------- Scan was COMPLETED SUCCESSFULLY at 02:05:28 |
|
|
||
26.07.2006, 12:08
Ehrenmitglied
Beiträge: 29434 |
#12
ADSSpy.exe
http://www.spywareinfo.com/~merijn/downloads.html 1. Klicke config -> Misc Tools -> Oeffne ADS spy -> quickscan __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.07.2006, 01:35
Member
Themenstarter Beiträge: 36 |
#13
Hallo Sabina,
den Scan mit ADS Spy habe ich wie vorgeschlagen durchgeführt. Allerdings komme ich direkt beim Starten von ADS Spy in ein Menu (nicht erst auf config), dort habe ich alle Felder abgewählt: - Quick scan - Ignore system info data streams - Calculate MD5 checksums of streams' contents Ich hoffe, das war so richtig. Unten ist der Logfile. Voelen Dank und beste Grüße von schmuseking C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\All Users\Dokumente\Speicher Nora\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Lisa\Eigene Dateien\Eigene Videos\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Nora\.jpi_cache\file\1.0\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Nora\Anwendungsdaten\Opera\Opera7\profile\cache4\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Nora\Eigene Dateien\Eigene Bilder\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Nora\Eigene Dateien\Meine empfangenen Dateien\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Nora\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Nora\Lokale Einstellungen\Anwendungsdaten\Microsoft\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Nora\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\KL01XUZR\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Papas\Eigene Dateien\Eigene Bilder\Thumbs.db : encryptable (0 bytes) C:\Dokumente und Einstellungen\Papas\Eigene Dateien\ICQ Lite\311250994\elaschatzimausi_319413115\Thumbs.db : encryptable (0 bytes) C:\Programme\BlubsterSupport\System\Images\Thumbs.db : encryptable (0 bytes) C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc81\Thumbs.db : encryptable (0 bytes) C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc86\Thumbs.db : encryptable (0 bytes) C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc87\Thumbs.db : encryptable (0 bytes) C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc88\Thumbs.db : encryptable (0 bytes) C:\RECYCLER\S-1-5-21-2052111302-152049171-1708537768-1005\Dc89\Thumbs.db : encryptable (0 bytes) |
|
|
||
27.07.2006, 15:10
Ehrenmitglied
Beiträge: 29434 |
#14
der ADSSpy ist in ordnung, also nichts loeschen
scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2006, 09:10
Member
Themenstarter Beiträge: 36 |
#15
Hallo Sabina,
unten ist der Report des Scans mit Panda. Allerdings ist der Report bezüglich der Viren nicht vollständig, da ich während des Scans einen unüberlegren Bedienungsfehler gemacht habe: Es ging zwischendurch ein Pop-Up Fenster auf mit einem Hinweis auf den Kauf der Panda-Software, und solche Pop-Up Fenster ärgern mich immer, deswegen habe ich es weggeklickt. Danach konnte das Programm nur durch erneutes senden fortgeführt werden, allerdings musste der Scan dafür neu gestartet werden. Zu diesem Zeitpunkt hatte Panda bereits 17 Viren gelöscht. Diese sind jetzt im Report nicht mit erwähnt. Sind sie vielleicht noch als temporäre Internet-Darei gespeichert, die ich nachsenden kann? Während oder nach dem Panda Scan hat auch Antivir wieder einen Trojaner gefunden: TR\PSW.Sinowal.V.27 So das war es soweit, und ich Sage wiederum vielen Dank für die prima Betreuung im Forum, viele Grüße von schmuseking Incident Status Location Adware:adware/cws Not disinfected c:\dokumente und einstellungen\all users\favoriten\Download Free Spyware Remover.url Spyware:spyware/betterinet Not disinfected c:\windows\inf\biini.inf Adware:adware/cws.ns3 Not disinfected Windows Registry Adware:adware/searchaid Not disinfected Windows Registry Adware:adware/searchexe Not disinfected Windows Registry Adware:adware/cws.aboutblank Not disinfected Windows Registry Potentially unwanted tool:application/kill&clean Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779} Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Mozilla\Profiles\default\jis8apxd.slt\cookies.txt[.atwola.com/] Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@2o7[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@as-eu.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@as1.falkag[1].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@atdmt[2].txt Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@atwola[1].txt Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@cs.sexcounter[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@doubleclick[1].txt Spyware:Cookie/onestat.com Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@stat.onestat[2].txt Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Papas\Cookies\papas@weborama[2].txt Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe Potentially unwanted tool:Application/Processor Not disinfected D:\Programme\SmitfraudFix\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected D:\Programme\smitRem\Process.exe Potentially unwanted tool:Application/Processor Not disinfected D:\Programme D Downloads\SmitfraudFix.zip[SmitfraudFix/Process.exe] Potentially unwanted tool:Application/Processor Not disinfected D:\Programme D Downloads\smitRem.exe[smitRem/Process.exe] Virus:Trojan Horse Disinfected D:\Speicher Nora\icqpw.zip[ICQ pwGrabber.exe] |
|
|
||
meinen Rechner hat es wieder einmal erwischt...
Ich bin weitgehender Laie, habe aber schon ein paar Mal mit den Tipps aus dem Protecus Forum meine Rechner-Probleme wieder gelöst. Ich bitte auch jetzt wieder um Unterstützung, dann ich weiß nicht mehr weiter.
Meine Schutzmaßnahmen: Ich habe Antivir laufend auf dem neuesten Stand. Außerdem mache ich gelegentlich Prüfungen mit Ewido. Als Browser benutze ich immer Opera, außer wenn eine Seite damit nicht geht, nur dann nehme ich den Internet-Explorer. Allerdings nutzt meine Tochter in letzter zeit häufiger ICQ und MSN Messenger.
Also: was ist passiert bzw. welche Beeinträchtigungen gibt es?
1) Ich hatte plötzlich die blinkende Anzeige „Virus Alert, Your Computer is affected. Critical System Error. Ich habe dann im Forum gelesen, dass ich mir Spyware-Quake v2.1 eingefangen hatte , das bin ich mit smitrem.exe im abgesicherten Mode wieder los geworden.
2) Außerdem hatte ich Probleme mit Trojanern, vielleicht aus der gleichen Quelle wie Spyware-Quake. Im abgesicherten Mode habe ich mit Antivir 2 Mal gescannt, beim ersten Mal wurden 15 (!) Trojaner gefunden, beim 2. Mal nichts mehr.
Ich dachte, das wäre es dann, aber dann kam zwischendurch wieder eine Meldung aus dem Antivir Guard:
C:\System Volume Information\...\A0102544.exe
Ist das Trojanische Pferd TR\Small.FB.109
3) Malware-Scans hatte ich zwischendurch etwas vernachlässigt, habe ich dann aber auch aktuell gemacht, 2 Mal im abgesicherten Mode mit Ewido (vorher neu aktualisiert). Beim ersten Mal gab es viele Funde, beim 2. mal nichts mehr.
Was ist weiter noch nicht in Ordnung?
4) Beim Booten erhalte ich den Hinweis:
„C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe“ konnte nicht gefunden werden. Stellen sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf „Start“ und anschließend auf „Suchen“, um eine Datei zu suchen.
5) Die Maus hängt zwischendurch fest, für ca. 1 Sekunde und ziemlich häufig, danach geht sie wieder für einige Sekunden.
6) Der Rechner piepst zwischendurch unregelmäßig, was er bis vor dem Befall mit Spyware-Quake nie gemacht hat (außer beim Booten, Fehleingaben oder wenn es einen Hinweis vom Antivir gab).
Gerade habe ich noch einmal alle temporären Internet-Files gelöscht und einen Lauf mit HijackThis gemacht. Ich hänge unten den Logfile vom HijackThis an, denn aus dem hat sich bei meinen bisherigen Rechner-Befällen immer ergeben was zu tun ist.
Und ich sage jetzt schon allen Forumsteilnehmern vielen Dank, die sich meinem Anliegen annehmen können.
Viele Grüße von schmuseking
Logfile of HijackThis v1.99.0
Scan saved at 00:54:05, on 19.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe
D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\PROGRA~1\VOLUME~2\MT\MT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Speicher Nora\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\EnhanceKeyboard\kb_2k.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Papas\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {914D886E-65D1-8556-F0A8-8664275805BE} - iesetupdll.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{AF7C7247-BA8E-4BC5-A018-797917A6235A}.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Speicher Nora\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{AF7C7247-BA8E-4BC5-A018-797917A6235A}.dll (file missing)
O4 - HKLM\..\Run: [QD FastAndSafe] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Meine Traffic] D:\PROGRA~1\VOLUME~2\MT\MT.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Speicher Nora\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [borlandg] MSTCPDLL.exe
O4 - HKLM\..\Run: [zantu] WTFCTF.exe
O4 - HKLM\..\Run: [dmxxz.exe] C:\WINDOWS\System32\dmxxz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Web2Pop] REM D:\Programme\Web2Pop\Web2pop.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [KillAndClean] REM "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [dialer423] REM SysSupport.exe
O4 - HKCU\..\Run: [control64] typeconf.exe
O4 - HKCU\..\Run: [LOPTCON] AppMasterCenter.exe
O4 - HKCU\..\Run: [AutoStart-Manager 2006] "D:\Programme\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Speicher Nora\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: enhanced keyboard driver.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Speicher Nora\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'd:\julias müll\netlimiter\nl_lsp.dll' missing
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140820799025
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8659526F-4C0C-4F27-BE13-8FCB6ED43E0D}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7A83CA1-BC27-41D7-978E-43104FF5F4C9}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{F568146A-22D1-4037-8959-CDE764672568}: NameServer = 85.255.116.164,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.131
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme D Downloads\Anti-Spy 040703\ewido\security suite\ewidoctrl.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe