Worm/VB.DW soll verschwinden

#1 hallo.

seit kurzem bin ich höchst glücklich, nun auch seit vorletztem Donnerstag Internetanwender zu sein. Dieses Glück wird überschattet von einer antivir-meldung heute morgen: angeblich beherbergt mein schlauer Wissenskasten einen Virus. Worm/VB.DW.

Das bereitet mir Unbehagen. Vermutlich steht dies in Zusammenhang mit dem Programm Bearshare, das auch in meinem Computer wohnt.. da bin ich mir aber nicht sicher.

Und genau das ist der Punkt: Laie ist eine Übertreibung in Bezug auf meine Kenntnis über den Computer, den Papi mir gekauft hat. In 2 anderen Forumsbeiträgen war ein ähnliches Problem zu finden, das zumeist mit einem Clean-up-Programm oder einer hi-jack-logfile (?) gelöst wurde.

Ich hab beides gewissermaßen ausprobiert aber antivir behauptet nach einer Prüfung der lokalen Laufwerke, dass noch immer Gefahr lauert. Kurz gesagt, es wäre echt toll, wenn mir jemand von euch helfen könnte.

Danke, danke.
Emily.

Microsoft Windows XP
Vers. 2002
SP 2

Logfile of HijackThis v1.99.1
Scan saved at 16:37:54, on 22.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Mouse Driver\MouseDrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\programme\zango\zango.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Picture It! Premium 10\pi.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\EMILYK~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D7765574412A3CC2 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [CreativeMouse ] C:\Programme\Mouse Driver\MouseDrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21fad580e0944c93e605/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{334BB9A3-039D-4EDE-BDD1-B18C81EECA23}: NameServer = 213.191.92.82 213.191.74.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE1D5A7-2B20-47A2-9FC9-4ECB78D995EB}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 22. August 2006 15:49

Es wird nach 461647 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Emily Koch
Computername: TECHTELMECHTEL

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 06.07.2006 16:13:49
AVSCAN.DLL : 7.0.0.42 57384 06.07.2006 16:13:49
LUKE.DLL : 7.0.0.42 118824 06.07.2006 16:13:50
LUKERES.DLL : 7.0.0.42 32808 06.07.2006 16:13:50
ANTIVIR0.VDF : 6.35.0.1 7371264 06.07.2006 16:13:49
ANTIVIR1.VDF : 6.35.0.168 730112 06.07.2006 16:13:49
ANTIVIR2.VDF : 6.35.0.240 226304 06.07.2006 16:13:49
ANTIVIR3.VDF : 6.35.0.241 4608 06.07.2006 16:13:49
AVEWIN32.DLL : 7.1.0.24 1556992 06.07.2006 16:13:49
AVPREF.DLL : 7.0.0.1 53288 06.07.2006 16:13:49
AVREP.DLL : 6.35.0.222 725032 06.07.2006 16:13:49
AVRPBASE.DLL : 7.0.0.0 2162728 06.07.2006 16:13:49
AVPACK32.DLL : 7.1.0.1 335912 06.07.2006 16:13:49
AVREG.DLL : 6.31.0.90 27688 06.07.2006 16:13:49
NETNT.DLL : 6.32.0.0 6696 06.07.2006 16:13:50
NETNW.DLL : 6.32.0.0 9768 06.07.2006 16:13:50
RCIMAGE.DLL : 7.0.0.71 1642536 06.07.2006 16:13:53
RCTEXT.DLL : 7.0.0.75 77864 06.07.2006 16:13:53

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,E,F
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Dienstag, 22. August 2006 15:49


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 40 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 24 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies\030625\0237\0192\values
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Temp\me_dQij18SlBWWHJ2V
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Temp\me_LaFGVkdc1aYdYSC
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Temp\me_Nt8chHBxDa0qM7j
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Temp\me_TVaeOQuXRcqmr8m
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Temp\me_Zw2jNRwDs01N7av
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Emily Koch\Lokale Einstellungen\Temp\Perflib_Perfdata_178.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SoftwareDistribution\EventCache\{EFAC727B-7D2C-4FC5-8133-521D924D1F61}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 22. August 2006 16:14
Benötigte Zeit: 24:31 min

Der Suchlauf wurde vollständig durchgeführt.

4540 Verzeichnisse wurden überprüft
148296 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
7348 Archive wurden durchsucht
34 Warnungen
3 Hinweise

#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "c:\programme\zango" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Okay, danke. und jetzt?


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von c:\programme\zango

22.08.2006 19:28 <DIR> .
22.08.2006 19:28 <DIR> ..
21.08.2006 13:52 867.328 zango.exe
21.08.2006 21:00 207.189 zangoau.dat
21.08.2006 13:52 133.232 zangohook.dll
21.08.2006 13:52 6.853 zango_gdf.dat
22.08.2006 16:28 48 zango_hpk.dat
22.08.2006 16:28 8.835.259 zango_kyf.dat
6 Datei(en) 10.049.909 Bytes
2 Verzeichnis(se), 25.123.016.704 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\WINDOWS\Downloaded Program Files

18.04.2006 15:59 1.173.616 ClientAX.dll
21.06.2006 03:33 155 DivXPlugin.inf
03.08.2004 16:45 1.271 erma.inf
09.07.2006 17:06 36.864 MsnChat40de-de.dll
24.10.2003 14:01 278 MsnChat45.inf
27.10.2003 11:35 510.552 MSNChat45.ocx
08.10.2004 16:01 372.736 MsnPUpld.dll
08.10.2004 16:13 587 MSNPupld.inf
15.10.2004 07:53 110.592 PURde-xx.dll
22.09.2004 15:59 110.592 PURen-us.dll
03.06.2004 10:04 524.445 RdxIE.dll
08.12.2003 13:58 3.759 swflash.inf
03.08.2004 14:51 293 wuweb.inf
13 Datei(en) 2.845.740 Bytes
0 Verzeichnis(se), 25.123.012.608 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Emily Koch\Eigene Dateien

22.08.2006 12:39 <DIR> .
22.08.2006 12:39 <DIR> ..
17.05.2006 16:46 <DIR> Cyberlink
30.05.2006 16:22 <DIR> Eigene Bilder
18.08.2006 19:12 <DIR> Eigene Musik
22.08.2006 12:39 <DIR> NeroVision
0 Datei(en) 0 Bytes
6 Verzeichnis(se), 25.123.012.608 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Programme

22.08.2006 19:24 <DIR> .
22.08.2006 19:24 <DIR> ..
20.08.2004 19:24 <DIR> Adobe
01.09.2004 09:42 <DIR> Ahead
06.07.2006 18:13 <DIR> AntiVir PersonalEdition Classic
05.09.2004 09:27 <DIR> ATI Technologies
21.08.2006 14:08 <DIR> BearShare
17.08.2004 10:42 <DIR> Broadcom
21.08.2006 13:49 84.216 BSINSTALLDE.exe
07.07.2006 13:16 <DIR> CA
22.08.2006 15:36 <DIR> CleanUp!
22.08.2006 15:36 339.099 CleanUp451.exe
05.09.2004 09:30 <DIR> Common Files
09.09.2004 20:58 <DIR> CyberLink
17.08.2006 00:50 <DIR> DivX
22.08.2006 07:55 <DIR> eMule
01.09.2004 09:16 <DIR> Encarta
18.08.2006 19:27 <DIR> Gemeinsame Dateien
18.08.2006 23:39 <DIR> Google
21.08.2004 12:21 <DIR> HighMAT CD Writing Wizard
22.08.2006 16:37 212.843 hijackthis_199.zip
09.09.2004 20:59 <DIR> Home Cinema
17.08.2004 18:03 <DIR> Intel
06.07.2006 11:02 <DIR> Internet Explorer
30.05.2006 16:09 <DIR> Kodak
17.08.2004 10:37 <DIR> Launch Manager
06.07.2006 18:30 <DIR> Lavasoft
20.08.2004 19:57 <DIR> Learn2.com
21.12.2005 15:16 <DIR> Marathon Manager
20.06.2005 03:53 <DIR> MediaMonkey
04.03.2005 18:41 <DIR> Messenger
07.07.2006 13:24 <DIR> Microsoft AutoRoute
17.08.2004 17:43 <DIR> microsoft frontpage
01.09.2004 09:06 <DIR> Microsoft Office
01.12.2004 21:07 <DIR> Microsoft Works
01.09.2004 08:54 <DIR> Microsoft Works Suite 2005
06.07.2006 18:01 <DIR> Mouse Driver
17.08.2004 17:40 <DIR> Movie Maker
17.08.2004 17:38 <DIR> MSN
01.05.2006 18:31 <DIR> MSN Apps
17.08.2004 17:39 <DIR> MSN Gaming Zone
01.05.2006 18:28 <DIR> MSN Messenger
02.01.2006 12:59 <DIR> MUSICMATCH
01.09.2004 14:23 <DIR> muvee Technologies
21.08.2006 16:15 <DIR> My Downloads
17.08.2004 17:40 <DIR> NetMeeting
17.08.2004 17:39 <DIR> Online Services
17.08.2004 17:41 <DIR> Online-Dienste
02.05.2006 07:50 <DIR> Outlook Express
21.03.2006 22:33 <DIR> Picture It! Premium 10
07.07.2006 13:27 <DIR> QuickTime
18.01.2005 17:22 <DIR> Readiris
20.08.2004 19:57 <DIR> Real
18.01.2005 17:21 <DIR> Samsung
06.04.2005 21:30 <DIR> Sony
06.07.2006 18:56 <DIR> Spybot - Search & Destroy
17.08.2004 10:43 <DIR> Synaptics
20.08.2004 19:57 <DIR> Viewpoint
07.07.2006 13:17 <DIR> Winamp
17.08.2004 18:25 <DIR> Windows Journal Viewer
07.07.2006 13:17 <DIR> Windows Media Player
17.08.2004 17:39 <DIR> Windows NT
07.07.2006 13:28 <DIR> WinRAR
05.09.2004 09:30 <DIR> X10 Hardware
17.08.2004 17:43 <DIR> xerox
22.08.2006 19:28 <DIR> Zango
3 Datei(en) 636.158 Bytes
63 Verzeichnis(se), 25.123.008.512 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

#4 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ich hoffe mal, das ist so richtig; weiß nicht, was es mit den 3 Monaten auf sich haben soll. Viel Glück.. und danke mit Zucker und Sahne.


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\WINDOWS\system32

22.08.2006 15:48 2.278 wpa.dbl
18.08.2006 19:27 176.167 rmoc3260.dll
18.08.2006 19:27 5.632 pndx5032.dll
18.08.2006 19:27 6.656 pndx5016.dll
18.08.2006 19:26 278.528 pncrt.dll
12.08.2006 15:30 377.784 perfh009.dat
12.08.2006 15:30 52.988 perfc009.dat
12.08.2006 15:30 388.748 perfh007.dat
12.08.2006 15:30 63.862 perfc007.dat
12.08.2006 15:30 892.038 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
22.06.2006 12:47 181.248 rasmans.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
02.06.2006 11:04 57.384 avsda.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 96.768 inseng.dll


edit (Sabina)

#6 nun drei Monate sind drei Monate und nicht 2 Jahre...vom Datum her...und es sind 4 Logs (nicht nur eins)

-------------
1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango
HKEY_LOCAL_MACHINE\SOFTWARE\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango

Files to delete:

C:\Programme\BSINSTALLDE.exe
c:\programme\zango\zango.exe
c:\programme\zango\zangoau.dat
c:\programme\zango\zangohook.dll
c:\programme\zango\zango_gdf.dat
c:\programme\zango\zango_hpk.dat
c:\programme\zango\zango_kyf.dat

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom Avenger, was erscheint

**
2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D7765574412A3CC2 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause

PC neustarten

3.
desinstalliere: BearShare

4.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

---------------------------------------------------------------------------

ich habe die gerade von dir geposteten Logs geloescht...es war kein Virus zu sehen... arbeite also alles weitere ab
__________
MfG Sabina

rund um die PC-Sicherheit

#7 was immer das alles zu bedeuten hat..


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vruiwagx

*******************

Script file located at: \??\C:\hxbepysk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\BSINSTALLDE.exe deleted successfully.
File c:\programme\zango\zango.exe deleted successfully.
File c:\programme\zango\zangoau.dat deleted successfully.
File c:\programme\zango\zangohook.dll deleted successfully.
File c:\programme\zango\zango_gdf.dat deleted successfully.
File c:\programme\zango\zango_hpk.dat deleted successfully.
File c:\programme\zango\zango_kyf.dat deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\zango deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}\1.0\0\win32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}\1.0\0\win32 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#8 nun arbeite den Rest ab und poste den scanreport von ewido
__________
MfG Sabina

rund um die PC-Sicherheit

#9 O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D7765574412A3CC2 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll

...hab ich nicht gefunden. den Rest aber.

ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 23:20:27 22.08.2006

+ Scan-Ergebnis:



C:\WINDOWS\Downloaded Program Files\ClientAX.dll -> Adware.180Solutions : Keine Aktion durchgeführt.
C:\avenger\backup.zip/avenger/zango.exe -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller.1 -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CLSID -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CurVer -> Adware.180Solutions : Keine Aktion durchgeführt.
HKU\S-1-5-21-1550413997-624988524-2512326630-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt.
C:\avenger\backup.zip/avenger/zango.exe/Plugins\npclntax.dll -> Adware.Zango : Keine Aktion durchgeführt.
C:\avenger\backup.zip/avenger/zangohook.dll -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CLSID -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CurVer -> Adware.Zango : Keine Aktion durchgeführt.
HKU\S-1-5-21-1550413997-624988524-2512326630-1006\Software\zango -> Adware.Zango : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@hasenet.122.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@advertising[1].txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@as1.falkag[1].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@fastclick[1].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.


::Berichtende

#10 1.
C:\avenger\backup.zip -> loeschen

2.
scanne noch mal, aber loesche, was das ewido findet,
Keine Aktion durchgeführt - ist nicht zu empfehlen............
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:30:30 23.08.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Emily Koch\Cookies\emily koch@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert.


::Berichtende

#12 es muesste alles wieder in Ordnung sein
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Ihr.
Habe gestern auch ne Meldung von Antivir bekommen,das der Worm.Vb/DW auf meinem Notebook sein soll.

Ich poste mal hier mein hijack logfile. kann sich das mal wer anschauen ob alles ok ist und wenn nicht was ich tun muß. hab leider nicht so nen plan :

Logfile of HijackThis v1.99.1
Scan saved at 17:58:25, on 03.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Jeanette\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Danke im Voraus

#14 Jea

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
bfu abarbeiten
http://virus-protect.org/artikel/bfu/alcanshorty.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 so habe alles abgearbeitet: hier nun die scanberichte von datfind.bat

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

04.08.2006 18:26 1.158 wpa.dbl
02.08.2006 23:40 1.406 Help.ico
02.08.2006 23:40 30.590 pavas.ico
02.08.2006 23:40 2.550 Uninstall.ico
12.07.2006 23:49 313.280 perfh009.dat
12.07.2006 23:49 49.424 perfc007.dat
12.07.2006 23:49 40.998 perfc009.dat
12.07.2006 23:49 728.266 PerfStringBackup.INI
12.07.2006 23:49 318.680 perfh007.dat
07.07.2006 03:21 6.757.792 MRT.exe
29.06.2006 17:21 1.503 lvcoinst.log
09.06.2006 20:22 57.384 avsda.dll
06.06.2006 12:37 48.936 sirenacm.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 285.488 WgaTray.exe
23.05.2006 17:25 402.736 WgaLogon.dll
21.05.2006 02:48 1.443.464 Flash8a.ocx
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 57.344 pxcpya64.exe
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 474.624 shlwapi.dll
10.05.2006 07:23 615.936 urlmon.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll



Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\

04.08.2006 18:40 0 sys.txt
04.08.2006 18:39 9.174 system.txt
04.08.2006 18:37 430 systemtemp.txt
04.08.2006 18:36 100.469 system32.txt
04.08.2006 14:48 535.875.584 hiberfil.sys
04.08.2006 14:48 805.306.368 pagefile.sys
25.07.2006 10:24 6.206.440 winamp524_full_emusic-7plus.exe
21.06.2006 19:47 15.376.680 Install_Messenger.exe
30.05.2006 20:34 5.977.088 icq5_1_german_setup.exe
30.05.2006 20:31 229 ICQLite.log
26.04.2006 20:46 1.129.833 Winrar.3.42.+.Crack.zip



Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\DOKUME~1\Jeanette\LOKALE~1\Temp

04.08.2006 18:36 204 jusched.log
04.08.2006 18:26 16.384 ~DF7AB.tmp
04.08.2006 18:26 512 ~DF2E8.tmp
04.08.2006 18:26 16.384 ~DF2DB.tmp
4 Datei(en) 33.484 Bytes
0 Verzeichnis(se), 27.977.580.544 Bytes frei



Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS

04.08.2006 18:26 97 ComponentList.xml
04.08.2006 16:11 54.156 QTFont.qfn
04.08.2006 14:54 1.382.426 WindowsUpdate.log
04.08.2006 14:48 159 wiadebug.log
04.08.2006 14:48 3.830 ModemLog_Agere Systems AC'97 Modem.txt
04.08.2006 14:48 0 0.log
04.08.2006 14:48 2.048 bootstat.dat
04.08.2006 01:11 32.586 SchedLgU.Txt
04.08.2006 01:11 50 wiaservc.log
03.08.2006 18:23 218.955 setupact.log
03.08.2006 16:44 1.409 QTFont.for
02.08.2006 23:40 32 pavsig.txt
31.07.2006 19:39 510.837 setupapi.log
28.07.2006 21:44 49 NeroDigital.ini
23.07.2006 13:53 94.148 wmsetup.log
12.07.2006 23:46 160.812 tsoc.log
12.07.2006 23:46 1.374 imsins.log
12.07.2006 23:46 20.338 msgsocm.log
12.07.2006 23:46 86.505 ntdtcsetup.log
12.07.2006 23:46 143.818 comsetup.log
12.07.2006 23:46 65.295 iis6.log
12.07.2006 23:46 22.431 ocmsn.log
12.07.2006 23:46 11.826 KB917159.log
12.07.2006 23:46 420.666 FaxSetup.log
12.07.2006 23:46 198.393 ocgen.log
12.07.2006 23:46 12.339 KB914388.log
12.07.2006 23:46 1.374 imsins.BAK
12.07.2006 23:46 30.189 updspapi.log
12.07.2006 23:46 10.425 KB916595.log
14.06.2006 17:31 2.737 spupdsvc.log
14.06.2006 17:13 17.246 KB917734.log
14.06.2006 17:13 15.755 KB918439.log
14.06.2006 17:13 16.430 KB917344.log
14.06.2006 17:13 15.390 KB917953.log
14.06.2006 17:12 15.372 KB911280.log
14.06.2006 17:12 18.525 KB916281.log
14.06.2006 17:12 11.609 KB914389.log
04.06.2006 01:06 23 VI20.set
04.06.2006 01:02 750 win.ini
31.05.2006 17:26 12.751 WgaNotify.log
12.05.2006 19:39 12.090 KB913580.log
26.04.2006 17:00 11.268 KB900485.log
19.04.2006 10:54 15.582 KB908531.log
19.04.2006 10:54 14.814 KB911562.log
19.04.2006 10:53 17.826 KB912812.log
19.04.2006 10:53 21.782 KB911565.log
19.04.2006 10:53 10.871 KB911567.log


was nun ??

danke im voraus