Totaler Nixwisser mit einem Kernels8 (oder mehr?) aufm Rechner ?!

#1 Hallo zusammen,
erst einmal vielen Dank dafür, dass es euch gibt.

Hier mein Problem: Ich glaube ein (oder weitere?) Trojaner hat sich in mein System eingenistet. Mein Task-manager ist ausser Funktion mscinfig funktioniert aber noch. Mein Zonealarm hat einen versuchten Zugriff von "KernelS8" gemeldet. Hier die Logfiles aus Datfindbat. HijackThis hab ich bisher nicht gefunden :

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: FC77-4223

Verzeichnis von D:\WINDOWS\system32

19.07.2006 12:08 909 vsconfig.xml
19.07.2006 12:06 4.155 ikhcore.log
18.07.2006 18:09 0 dlh9jkdq8.exe
15.07.2006 14:41 2.206 wpa.dbl
18.04.2006 07:51 4.212 zllictbl.dat
08.04.2006 15:42 754.872 vete.dll
01.04.2006 15:20 25.065 wmpscheme.xml
31.03.2006 17:29 0 h323log.txt
31.03.2006 17:24 110.192 FNTCACHE.DAT
31.03.2006 17:01 40.128 perfc009.dat
31.03.2006 17:01 311.740 perfh009.dat
31.03.2006 17:01 316.924 perfh007.dat
31.03.2006 17:01 48.354 perfc007.dat
31.03.2006 17:01 723.744 PerfStringBackup.INI
31.03.2006 16:54 261 $winnt$.inf
31.03.2006 16:49 16.832 amcompat.tlb
31.03.2006 16:49 23.392 nscompat.tlb
31.03.2006 16:46 488 WindowsLogon.manifest
31.03.2006 16:46 488 logonui.exe.manifest
31.03.2006 16:46 749 wuaucpl.cpl.manifest
31.03.2006 16:46 749 cdplayer.exe.manifest
31.03.2006 16:46 749 sapi.cpl.manifest
31.03.2006 16:46 749 nwc.cpl.manifest
31.03.2006 16:46 749 ncpa.cpl.manifest
31.03.2006 16:43 21.740 emptyregdb.dat

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: FC77-4223

Verzeichnis von D:\DOKUME~1\Koepke\LOKALE~1\Temp

19.07.2006 12:10 2.048 sqlite_Kl9bPSPbjdsdogh
19.07.2006 12:09 0 sqlite_qUjG2KVBbVnzrUi
15.07.2006 17:35 115 DFC5A2B2.TMP
04.07.2004 19:00 569 newspaper.css
22.04.2004 12:51 824 news.gif
28.09.2001 16:00 164.864 GLB1A2B.EXE
6 Datei(en) 168.420 Bytes
0 Verzeichnis(se), 15.891.410.944 Bytes frei

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: FC77-4223

Verzeichnis von D:\WINDOWS

19.07.2006 13:04 192 winamp.ini
19.07.2006 12:08 0 0.log
19.07.2006 12:07 159 wiadebug.log
19.07.2006 12:07 50 wiaservc.log
19.07.2006 12:07 2.048 bootstat.dat
19.07.2006 11:59 827.755 WindowsUpdate.log
19.07.2006 11:25 613 win.tmp
19.07.2006 11:25 227 system.ini
19.07.2006 11:25 613 win.ini
19.07.2006 11:25 227 system.tmp
19.07.2006 11:24 32.588 SchedLgU.Txt
17.07.2006 17:49 116 NeroDigital.ini
17.07.2006 13:44 54.156 QTFont.qfn
17.07.2006 13:11 379.112 setupapi.log
04.06.2006 22:08 54.444 iis6.log
04.06.2006 22:08 17.986 comsetup.log
04.06.2006 22:08 9.203 ntdtcsetup.log
04.06.2006 22:08 13.014 tsoc.log
04.06.2006 22:08 1.626 tabletoc.log
04.06.2006 22:08 1.355 imsins.log
04.06.2006 22:08 7.931 KB893803v2.log
04.06.2006 22:08 1.277 ocmsn.log
04.06.2006 22:08 3.560 netfxocm.log
04.06.2006 22:08 18.590 ocgen.log
04.06.2006 22:08 1.177 msgsocm.log
04.06.2006 22:08 17.721 FaxSetup.log
04.06.2006 22:08 11.878 msmqinst.log
03.06.2006 16:07 151 PhotoSnapViewer.INI
17.05.2006 20:54 1.409 QTFont.for
11.05.2006 21:08 250 accessdll.log
11.05.2006 20:40 1.944 avmadd32.log
11.05.2006 20:29 107 avmsysnet.log
15.04.2006 00:00 0 nsreg.dat
09.04.2006 19:49 76.908 DirectX.log
08.04.2006 19:57 23.397 wmsetup.log
08.04.2006 19:57 316.640 WMSysPr9.prx
08.04.2006 19:51 181.130 setupact.log
08.04.2006 15:57 1.392 Windows Update.log
01.04.2006 20:30 500 GEARInstall.log
01.04.2006 15:20 1.174 OEWABLog.txt
31.03.2006 17:38 2.641 Ascd_tmp.ini
31.03.2006 17:13 403 ODBC.INI
31.03.2006 17:01 0 Sti_Trace.log
31.03.2006 16:58 751.490 setuplog.txt
31.03.2006 16:56 8.192 REGLOCS.OLD
31.03.2006 16:55 4.382 imsins.BAK
31.03.2006 16:55 6.603 avmcoins.log
31.03.2006 16:54 1.348 regopt.log
31.03.2006 16:53 0 setuperr.log
31.03.2006 16:49 0 control.ini
31.03.2006 16:49 299.552 WMSysPrx.prx
31.03.2006 16:49 4.161 ODBCINST.INI
31.03.2006 16:46 749 WindowsShell.Manifest
31.03.2006 16:44 1.060 sessmgr.setup.log
31.03.2006 16:43 37 vbaddin.ini
31.03.2006 16:43 36 vb.ini
31.03.2006 16:43 128 DtcInstall.log

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: FC77-4223

Verzeichnis von D:\

19.07.2006 14:08 0 sys.txt
19.07.2006 14:07 5.002 system.txt
19.07.2006 14:07 560 systemtemp.txt
19.07.2006 14:07 95.122 system32.txt
19.07.2006 13:04 452.984.832 pagefile.sys
19.07.2006 12:38 240 datFind.zip
19.07.2006 12:07 536.383.488 hiberfil.sys
08.07.2006 11:49 5.330.246 DE1530ADV.EXE
07.05.2006 12:59 6.550 unbenannt.bmp
01.04.2006 20:46 1.088.949 wash34.exe
31.03.2006 17:51 193 boot.ini
02.04.2003 14:00 4.952 bootfont.bin
02.04.2003 14:00 47.580 NTDETECT.COM
02.04.2003 14:00 235.296 ntldr
14 Datei(en) 996.183.010 Bytes
0 Verzeichnis(se), 15.891.398.656 Bytes frei

Vielen Dank für eure Hilfe.

Gruß
Klaus

#2 Klaus Köpke

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten - poste die reporte
http://www.virustotal.com/flash/index_en.html

D:\WINDOWS\system32\dlh9jkdq8.exe
D:\WINDOWS\system32\vete.dll
D:\wash34.exe

«
das sind viren, ich will nur wissen, welche scanner sie erkennt
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi,
vielen Dank für die Antwort. Hat etwas gedauert. Diesen KernelS8 habe ich zwar gelöscht, aber die Blockierung des Taskmanager bleibt bestehen.
Wäre toll wenn du mir einen oder kombinierten Virenscanner bzw. Schutzprogramme empfehlen könntest damit ich nicht ständig aufschlagen muss.

Hier die Ergebnisse:
STATUS: FINISHEDComplete scanning result of "dlh9jkdq8.exe", received in VirusTotal at 07.20.2006, 13:05:00 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
packers: TeLock


STATUS: FINISHEDComplete scanning result of "vete.dll", received in VirusTotal at 07.20.2006, 13:09:57 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.20.2006 no virus found
Authentium 4.93.8 07.19.2006 no virus found
Avast 4.7.844.0 07.19.2006 no virus found
AVG 386 07.19.2006 no virus found
BitDefender 7.2 07.20.2006 no virus found
CAT-QuickHeal 8.00 07.20.2006 no virus found
ClamAV devel-20060426 07.20.2006 no virus found
DrWeb 4.33 07.20.2006 no virus found
eTrust-InoculateIT 23.72.73 07.20.2006 no virus found
eTrust-Vet 12.6.2303 07.20.2006 no virus found
Ewido 4.0 07.20.2006 no virus found
Fortinet 2.77.0.0 07.19.2006 suspicious
F-Prot 3.16f 07.19.2006 no virus found
F-Prot4 4.2.1.29 07.19.2006 no virus found
Ikarus 0.2.65.0 07.20.2006 no virus found
Kaspersky 4.0.2.24 07.20.2006 no virus found
McAfee 4810 07.19.2006 no virus found
Microsoft 1.1508 07.20.2006 no virus found
NOD32v2 1.1669 07.20.2006 no virus found
Norman 5.90.23 07.20.2006 no virus found
Panda 9.0.0.4 07.20.2006 no virus found
Sophos 4.07.0 07.20.2006 no virus found
Symantec 8.0 07.20.2006 no virus found
TheHacker 5.9.8.178 07.19.2006 no virus found
UNA 1.83 07.19.2006 no virus found
VBA32 3.11.0 07.19.2006 no virus found
VirusBuster 4.3.7:9 07.19.2006 no virus found


Aditional Information
File size: 754872 bytes
MD5: bef7c958e4d55822b4c180d075bae44e
SHA1: 74a19fe9b1f4b2b3fd05be736789b924b1adb440

VirusTotal is a free service offered by Hispasec Sistemas


STATUS: FINISHEDComplete scanning result of "wash34.exe", received in VirusTotal at 07.20.2006, 13:16:34 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.20.2006 no virus found
Authentium 4.93.8 07.19.2006 no virus found
Avast 4.7.844.0 07.19.2006 no virus found
AVG 386 07.19.2006 no virus found
BitDefender 7.2 07.20.2006 no virus found
CAT-QuickHeal 8.00 07.20.2006 no virus found
ClamAV devel-20060426 07.20.2006 no virus found
DrWeb 4.33 07.20.2006 no virus found
eTrust-InoculateIT 23.72.73 07.20.2006 no virus found
eTrust-Vet 12.6.2303 07.20.2006 no virus found
Ewido 4.0 07.20.2006 no virus found
Fortinet 2.77.0.0 07.19.2006 no virus found
F-Prot 3.16f 07.19.2006 no virus found
F-Prot4 4.2.1.29 07.19.2006 no virus found
Ikarus 0.2.65.0 07.20.2006 no virus found
Kaspersky 4.0.2.24 07.20.2006 no virus found
McAfee 4810 07.19.2006 no virus found
Microsoft 1.1508 07.20.2006 no virus found
NOD32v2 1.1669 07.20.2006 no virus found
Norman 5.90.23 07.20.2006 no virus found
Panda 9.0.0.4 07.20.2006 no virus found
Sophos 4.07.0 07.20.2006 no virus found
Symantec 8.0 07.20.2006 no virus found
TheHacker 5.9.8.178 07.19.2006 no virus found
UNA 1.83 07.19.2006 no virus found
VBA32 3.11.0 07.19.2006 no virus found
VirusBuster 4.3.7:9 07.19.2006 no virus found


Aditional Information
File size: 1088949 bytes
MD5: 57de28a019e6bb6c07e2949b89bf8bdb
SHA1: 487dac76e292e60966e838c3404c8520801be096

Vielen Dank. Gruß
Klaus

#4 1.
poste das log von winpfind
http://virus-protect.org/winpfind.html

2.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

der taskmanager ist kein problem..das loesen wir spaeter....
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,
hier das WinPfind-Logfile:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
qoologic 21.07.2006 12:02:56 204131 D:\WinPFind.zip

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 02.04.2003 14:00:00 41118 D:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 02.04.2003 14:00:00 660480 D:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 02.04.2003 14:00:00 1309184 D:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in D:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
21.07.2006 11:44:56 S 2048 D:\WINDOWS\bootstat.dat
17.07.2006 13:44:10 H 54156 D:\WINDOWS\QTFont.qfn
21.07.2006 11:44:58 S 64 D:\WINDOWS\CSC\00000001
20.07.2006 12:54:18 S 64 D:\WINDOWS\CSC\00000002
19.07.2006 12:07:18 S 64 D:\WINDOWS\CSC\csc1.tmp
28.06.2006 20:35:38 H 0 D:\WINDOWS\inf\oem2.inf
28.06.2006 20:37:14 H 0 D:\WINDOWS\inf\oem3.inf
28.06.2006 20:37:14 H 0 D:\WINDOWS\LastGood\INF\oem3.inf
28.06.2006 20:37:14 H 0 D:\WINDOWS\LastGood\INF\oem3.PNF
21.07.2006 11:45:30 H 909 D:\WINDOWS\system32\vsconfig.xml
21.07.2006 12:00:54 H 1024 D:\WINDOWS\system32\config\default.LOG
21.07.2006 11:55:52 H 1024 D:\WINDOWS\system32\config\SAM.LOG
21.07.2006 11:56:08 H 1024 D:\WINDOWS\system32\config\SECURITY.LOG
21.07.2006 12:10:44 H 1024 D:\WINDOWS\system32\config\software.LOG
21.07.2006 11:56:36 H 1024 D:\WINDOWS\system32\config\system.LOG
29.06.2006 18:28:26 HS 388 D:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\e7ddb9a2-61ef-489a-bf03-b2e1eea4a2bb
29.06.2006 18:28:26 HS 24 D:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
28.06.2006 20:35:48 RHS 13698 D:\WINDOWS\system32\Restore\filelist.xml
21.07.2006 11:45:00 H 6 D:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 02.04.2003 14:00:00 68096 D:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 02.04.2003 14:00:00 583680 D:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 02.04.2003 14:00:00 132096 D:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 02.04.2003 14:00:00 152064 D:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 02.04.2003 14:00:00 293376 D:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 02.04.2003 14:00:00 125440 D:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 02.04.2003 14:00:00 66560 D:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 02.04.2003 14:00:00 189440 D:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 02.04.2003 14:00:00 566272 D:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 02.04.2003 14:00:00 35840 D:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 02.04.2003 14:00:00 259072 D:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 02.04.2003 14:00:00 38400 D:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 02.04.2003 14:00:00 36864 D:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 02.04.2003 14:00:00 111616 D:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 02.04.2003 14:00:00 272896 D:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 02.04.2003 14:00:00 28160 D:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 02.04.2003 14:00:00 90112 D:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 D:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 02.04.2003 14:00:00 68096 D:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 02.04.2003 14:00:00 583680 D:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 02.04.2003 14:00:00 132096 D:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 02.04.2003 14:00:00 152064 D:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 02.04.2003 14:00:00 293376 D:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 02.04.2003 14:00:00 125440 D:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 02.04.2003 14:00:00 66560 D:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 02.04.2003 14:00:00 189440 D:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 02.04.2003 14:00:00 566272 D:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 02.04.2003 14:00:00 35840 D:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 02.04.2003 14:00:00 259072 D:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 02.04.2003 14:00:00 38400 D:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 02.04.2003 14:00:00 36864 D:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 02.04.2003 14:00:00 111616 D:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 02.04.2003 14:00:00 151552 D:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 02.04.2003 14:00:00 272896 D:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 02.04.2003 14:00:00 28160 D:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 02.04.2003 14:00:00 90112 D:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
31.03.2006 16:49:42 HS 84 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
31.03.2006 16:54:06 HS 62 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
01.04.2006 20:38:36 1751 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache

Checking files in %USERPROFILE%\Startup folder...
31.03.2006 16:49:42 HS 84 D:\Dokumente und Einstellungen\Koepke\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
31.03.2006 16:54:06 HS 62 D:\Dokumente und Einstellungen\Koepke\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ZLAVShExt
{D9872D13-7651-4471-9EEE-F0A00218BEBB} = D:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ZLAVShExt
{D9872D13-7651-4471-9EEE-F0A00218BEBB} = D:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}
PCTools Site Guard = D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B56A7D7D-6927-48C8-A975-17DF180C71AC}
PCTools Browser Monitor = D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : D:\WINDOWS\System32\msdxm.ocx
{855F3B16-6D32-4fe6-8A56-BBB695989046} = ICQ Toolbar : D:\Programme\ICQToolbar\toolbaru.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}
ButtonText = Spyware Doctor :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{866875B8-9855-48f8-BAAB-8002C325BE69}
ButtonText = Artikel hinzufügen : D:\Programme\Paragon\Last Minute Gebot\plmg.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} = ICQ Toolbar : D:\Programme\ICQToolbar\toolbaru.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Zone Labs Client "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Spyware Doctor "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
MSMSGS "D:\Programme\Messenger\msmsgs.exe" /background

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk
path D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command D:\PROGRA~1\MICROS~2\Office\OSA9.EXE -b -l
item Microsoft Office

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iTunesHelper
hkey HKLM
command "D:\Programme\iTunes\iTunesHelper.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iTunesHelper
hkey HKLM
command "D:\Programme\iTunes\iTunesHelper.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSMSGS
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item msmsgs
hkey HKCU
command "D:\Programme\Messenger\msmsgs.exe" /background
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item msmsgs
hkey HKCU
command "D:\Programme\Messenger\msmsgs.exe" /background
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command D:\WINDOWS\system32\NeroCheck.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command D:\WINDOWS\system32\NeroCheck.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\plmg.exe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item plmg
hkey HKCU
command D:\PROGRA~1\Paragon\LASTMI~1\plmg.exe /minimize
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item plmg
hkey HKCU
command D:\PROGRA~1\Paragon\LASTMI~1\plmg.exe /minimize
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "D:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "D:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebWasher
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item wwasher
hkey HKCU
command D:\Programme\WebWasher\wwasher.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item wwasher
hkey HKCU
command D:\Programme\WebWasher\wwasher.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinampAgent
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item winampa
hkey HKLM
command D:\Programme\Winamp\winampa.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item winampa
hkey HKLM
command D:\Programme\Winamp\winampa.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = D:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = D:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 21.07.2006 12:18:46

...und das von Hijackthis hinterher:

Logfile of HijackThis v1.99.1
Scan saved at 12:22:29, on 21.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\atievxx.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\WINDOWS\System32\ZoneLabs\isafe.exe
D:\Programme\Spyware Doctor\sdhelp.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Spyware Doctor\swdoctor.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Deepnet Explorer\Deepnet.exe
D:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPROV.EXE
D:\Dokumente und Einstellungen\Koepke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QPG9PDSG\WinPFind[1]\WinPFind\winpfind.exe
D:\Dokumente und Einstellungen\Koepke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Artikel hinzufügen - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Programme\Paragon\Last Minute Gebot\plmg.exe
O9 - Extra 'Tools' menuitem: Artikel hinzufügen - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Programme\Paragon\Last Minute Gebot\plmg.exe
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{74D37403-C686-43C9-8382-247076B48F1F}: NameServer = 192.168.1.1,195.20.224.234
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - D:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank.

Gruß
Klaus

#6 Klaus Köpke

Information kernels8.exe
http://virus-protect.org/artikel/spyware/kernels8.html

----------------------------------------------------------------------

1.
Gehe in die Registry
Start - Ausfuehren regedit

hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\intranetname="1" -> loeschen

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\uncasintranet="1" -> loeschen

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\proxybypass="1" -> loeschen

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr -> loeschen


2.
D:\WINDOWS\system32\dlh9jkdq8.exe <-loeschen


3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken -> und der registry beifuegen mit "Ja"

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ok, hab ich alles gemacht. Und nu ?

#8 nun muesste alles wieder o.k. sein

scanne mit panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Here it is:



Incident Status Location

Adware:Adware/Adsmart Not disinfected C:\t.inx
Adware:Adware/PurityScan Not disinfected C:\vbsys2.dll
Spyware:Cookie/Falkag Not disinfected D:\Dokumente und Einstellungen\Koepke\Cookies\koepke@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected D:\Dokumente und Einstellungen\Koepke\Cookies\koepke@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected D:\Dokumente und Einstellungen\Koepke\Cookies\koepke@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected D:\Dokumente und Einstellungen\Koepke\Cookies\koepke@doubleclick[1].txt
Spyware:Cookie/2o7 Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd160.txt
Spyware:Cookie/Adtech Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd168.txt
Spyware:Cookie/adultfriendfinder Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd170.txt
Spyware:Cookie/Advertising Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd171.txt
Spyware:Cookie/Apmebf Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd173.txt
Spyware:Cookie/Falkag Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd175.txt
Spyware:Cookie/Falkag Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd176.txt
Spyware:Cookie/Atlas DMT Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd178.txt
Spyware:Cookie/Atwola Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd179.txt
Spyware:Cookie/Cgi-bin Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd182.txt
Spyware:Cookie/Com.com Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd185.txt
Spyware:Cookie/Sextracker Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd187.txt
Spyware:Cookie/cs.sexcounter Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd189.txt
Spyware:Cookie/Doubleclick Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd195.txt
Spyware:Cookie/Mediaplex Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd234.txt
Spyware:Cookie/PayCounter Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd242.txt
Spyware:Cookie/SexList Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd249.txt
Spyware:Cookie/Tradedoubler Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd290.txt
Spyware:Cookie/WebPower Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd297.txt
Spyware:Cookie/XXXCounter Not disinfected D:\RECYCLER\S-1-5-21-1659004503-839522115-1957994488-500\Dd350.txt
Virus:Bck/Dumador.CU Disinfected D:\WINDOWS\system32\drivers\etc\HOSTS.bak

#10 1.
loesche also:

C:\t.inx
C:\vbsys2.dll

beachte, diese Dateien sind auf C:\ (diese Partition habe ich nicht ueberprueft, sondern nur D:\ )

2.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

dann alles gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Dank Dir Sabina,

jetzt kommt Lob: tolles Forum, super kompetente, schnelle Hilfe alles bestens.

Vielen Dank nochmal und tschüs.

Klaus