SpyQuake,Purity,PCK.Klone,Zlob

#1 hi
ich schlag mich nun seit 2 tagen mit verschiedenen foren rum.
hab meines wissens das was ich mir angelesen habe ausgeführt; aber ich bin halt nunmal n laie! hab eigentlich keine ahnung und bin reiner anwender.
daher nun dieser thread, in der hoffnung das mir geholfen werden kann.

ich weis wie ich den kram bekommen habe- eigene dummheit, wie so schön gesagt wird, größte schwachstelle am system sitzt vor der tastatur.

hab sophos laufen lassen, hab antivir laufen lassen - beide haben "versagt" bzw konnten nix ausrichten. wenigstens hat antivir mir gesagt das da was ist.
geplagt werde ich von popups im IE, wobei ich normal den Firefox nutze, und den für spyquake typischen taskleisten meldungen.
antivir sagt mir ich hätte:
PCK.KLone (3 AV-Einträge, scheinbar identisch)
C:\WINDOWS\system32\winrrt32.dll

TR/Dldr.Zlob.QZ.2 (2 AV-Einträge, scheinbar identisch)
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\thinsdip.exe

EXP/MS05-013 (2 AV-Einträge, scheinbar identisch)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\Temp\AVSCAN-20062722-160547-6147B3EC\AVSCAN-000009FF

TR/Drop.Zlob.VY.11 (5 AV-Einträge, scheinbar identisch)
C:\WINDOWS\system32\ishost.exe

TR/Dldr.PurityScan.CU (1 AV-Eintrag)
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W56Z09E7\!update-4028[1].0000


ich hab dann mal brav nach anleitung den kram durchlaufen
PS: ich seh gerade das es n paar sachen zu links gemacht hat- ich weis nicht was sich hinter den links verbirgt, ist nicht gewollt !! ich rate davon ab sie zu nutzen!

1: Hijackthis-log:
Logfile of HijackThis v1.99.1
Scan saved at 15:25:29, on 23.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\SpyQuake2.com\Spy-Quake2.exe
C:\Programme\ipwins\ipwins.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe
C:\Programme\SpyQuake2.com\Spy-Quake2.exe
C:\WINDOWS\YSTEM~1\OOLSV~1.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Locke\Desktop\Schritt1\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Security Hot Fix] "%SystemRoot%\mshotfix.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\atiprbxx.exe /g
O4 - HKCU\..\Run: [Rnha] "C:\WINDOWS\system32\FNTS~1\explorer.exe" -vt yax
O4 - HKCU\..\Run: [Oche] C:\WINDOWS\YSTEM~1\OOLSV~1.EXE
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/00001/chm.chm::/files/initial.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093077972969
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/soesysinfo.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\winword.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

2: Cleanup
wie beschrieben ausgeführt

3: datbat
Verzeichnis von C:\WINDOWS\system32

23.07.2006 15:44 564.753 edcdd.ini
23.07.2006 15:16 31.232 ixt0.dll
22.07.2006 22:28 17.012 BMXState-{00000000-00000000-0000000F-00001102-00000002-80641102}.rfx
22.07.2006 22:28 17.012 BMXStateBkp-{00000000-00000000-0000000F-00001102-00000002-80641102}.rfx
22.07.2006 22:28 29.208 BMXBkpCtrlState-{00000000-00000000-0000000F-00001102-00000002-80641102}.rfx
22.07.2006 22:28 29.208 BMXCtrlState-{00000000-00000000-0000000F-00001102-00000002-80641102}.rfx
22.07.2006 22:28 2.064 settings.sfm
22.07.2006 22:28 2.064 settingsbkup.sfm
22.07.2006 22:28 24 DVCStateBkp-{00000000-00000000-0000000F-00001102-00000002-80641102}.dat
22.07.2006 22:28 24 DVCState-{00000000-00000000-0000000F-00001102-00000002-80641102}.dat
22.07.2006 16:22 562.891 edcdd.bak2
22.07.2006 14:14 7.680 ismon.exe
22.07.2006 13:58 2.206 wpa.dbl
22.07.2006 13:21 573.492 ddcde.dll
22.07.2006 13:16 4.286 ot.ico
22.07.2006 13:16 9.688 isnotify.exe
22.07.2006 13:16 45.056 issearch.exe
22.07.2006 13:15 2 wcpcc.exe
22.07.2006 13:15 81.920 winword.dll
22.07.2006 13:14 38.925 ddcddaw.dll
22.07.2006 13:14 18.944 winrrt32.dll
07.07.2006 03:21 6.757.792 MRT.exe
23.06.2006 13:16 57.384 avsda.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 1.257.472 pxsfs.dll
15.05.2006 15:52 7.006 jupdate-1.5.0_06-b05.log
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
31.03.2006 12:40 2.388.176 d3dx9_30.dll
31.03.2006 12:39 229.584 xactengine2_1.dll

Verzeichnis von C:\DOKUME~1\Locke\LOKALE~1\Temp

23.07.2006 15:26 206 jusched.log
23.07.2006 15:16 32.768 ~DFA90D.tmp
23.07.2006 15:16 32.723 SQLanguage.ini
23.07.2006 14:31 32.768 ~DF848F.tmp
20.07.2006 19:16 124 0CF6E057.TMP
5 Datei(en) 98.589 Bytes
0 Verzeichnis(se), 9.211.318.272 Bytes frei

Verzeichnis von C:\WINDOWS

23.07.2006 14:37 1.075.456 WindowsUpdate.log
23.07.2006 14:31 0 0.log
23.07.2006 14:31 157 wiadebug.log
23.07.2006 14:31 50 wiaservc.log
23.07.2006 14:31 2.048 bootstat.dat
23.07.2006 13:47 530.452 ntbtlog.txt
22.07.2006 22:28 32.622 SchedLgU.Txt
22.07.2006 13:14 39.424 YAXUninst.exe
22.07.2006 13:14 725.666 setupapi.log
22.07.2006 11:13 69 NeroDigital.ini
18.07.2006 16:59 356.082 wmsetup.log
14.07.2006 01:25 347.179 tsoc.log
14.07.2006 01:25 852.263 iis6.log
14.07.2006 01:25 35.986 ocmsn.log
14.07.2006 01:25 11.798 KB917159.log
14.07.2006 01:25 156.161 ntdtcsetup.log
14.07.2006 01:25 256.848 comsetup.log
14.07.2006 01:25 1.374 imsins.log
14.07.2006 01:25 37.547 tabletoc.log
14.07.2006 01:25 33.901 medctroc.Log
14.07.2006 01:25 130.449 netfxocm.log
14.07.2006 01:25 381.071 ocgen.log
14.07.2006 01:25 37.569 msgsocm.log
14.07.2006 01:25 729.835 FaxSetup.log
14.07.2006 01:25 234.964 msmqinst.log
14.07.2006 01:25 1.374 imsins.BAK
14.07.2006 01:25 12.310 KB914388.log
14.07.2006 01:25 29.008 updspapi.log
14.07.2006 01:25 10.253 KB916595.log
22.06.2006 01:03 10.304 MSOPrefs.232
22.06.2006 01:03 4.544 MSOClip.232
20.06.2006 15:22 34 cdplayer.ini
17.06.2006 20:05 3.375.568 {00000000-00000000-0000000F-00001102-00000002-80641102}.CDF
17.06.2006 20:05 3.375.568 {00000000-00000000-0000000F-00001102-00000002-80641102}.BAK
17.06.2006 13:29 31.671 spupdsvc.log
17.06.2006 02:08 13.573 KB917734.log
17.06.2006 02:07 15.259 KB918439.log
17.06.2006 02:07 15.616 KB917344.log
17.06.2006 02:07 15.390 KB917953.log
17.06.2006 02:07 15.368 KB911280.log
17.06.2006 02:06 18.710 KB916281.log
17.06.2006 02:06 12.708 KB914389.log
16.06.2006 13:10 326.606 DirectX.log
10.05.2006 19:52 11.630 KB913580.log
04.05.2006 23:02 139 accessdll.log
04.05.2006 23:01 1.472 avmadd32.log
04.05.2006 23:01 105 avmsysnet.log
26.04.2006 21:31 11.852 KB900485.log
13.04.2006 18:04 15.027 KB908531.log
13.04.2006 18:04 14.198 KB911562.log
13.04.2006 18:04 16.253 KB912812.log
13.04.2006 18:03 16.370 KB911565.log
13.04.2006 18:03 10.598 KB911567.log
13.04.2006 17:39 6.330 EPSTPLOG.TXT
13.04.2006 17:39 31 EPSMTL32.TXT
13.04.2006 17:39 4.460 epsswt_log.txt
18.03.2006 19:10 107.132 UninstallFirefox.exe






hoffe ihr könnt damit was anfangen und mir bitte helfen
für mich ist das nur bahnhof und ich hab kein plan wann da wo was ist

danke für die leute die sich der sache annehmen

#2 1.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W56Z09E7\!update-4028[1].0000
C:\WINDOWS\system32\toolbar.dll
C:\WINDOWS\Temp\!update.exe
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\SQLanguage.ini
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\!update.exe
C:\WINDOWS\YAXUninst.exe
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe
C:\WINDOWS\system32\pmnqguh.dll
C:\WINDOWS\system32\edcdd.ini
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\edcdd.bak2
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ddcde.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\wcpcc.exe
C:\WINDOWS\system32\winword.dll
C:\WINDOWS\system32\ddcddaw.dll
C:\WINDOWS\system32\winrrt32.dll
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\Uninst.exe
C:\Programme\ipwins\ipwins.exe
C:\Programme\ipwins\s154.1.dat
C:\Programme\ipwins\s20c.1.dat
C:\Programme\ipwins\s3rc.1.dat
C:\Programme\ipwins\s3pg.dat
C:\Programme\ipwins\sk0.dat
C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den report vom avenger, der erscheinen wird.

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)

O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKCU\..\Run: [Rnha] "C:\WINDOWS\system32\FNTS~1\explorer.exe" -vt yax
O4 - HKCU\..\Run: [Oche] C:\WINDOWS\YSTEM~1\OOLSV~1.EXE
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/00001/chm.chm::/files/initial.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O20 - AppInit_DLLs: C:\WINDOWS\system32\winword.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll

5.
wende smitfraud.fix an (Option 1 und 2 - lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste beide scanreporte

-------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 super ! danke für die schnelle hilfe, und das an nem Sonntag
ich bin begeistert.

also:

1: hab vundofix schon 3x laufen lassen, jetzt nochmal obwohl er die ersten beiden male (bevor du mir das geraten hast) nix gefunden hat. ich hab gerade das gefühl das ihm da das "tolle" antivir in die quere kam (es hat meldungen ausgegben während VF prüfte), habs kurzerhand entfernt und erneut laufen lassen... aber auch jetzt findet er nix.

Zitat

*Done Searching for files. No infected files were found.*
*No files were found, VundoFix V5.1.4 will now close.*

2: avenger-logfile

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tdosyxar

*******************

Script file located at: \??\C:\WINDOWS\fcbrdkgu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
Status: 0xc0000034



File C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W56Z09E7\!update-4028[1].0000 for deletion
Deletion of file C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W56Z09E7\!update-4028[1].0000 failed!

Could not process line:
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W56Z09E7\!update-4028[1].0000
Status: 0xc000003a



File C:\WINDOWS\system32\toolbar.dll not found!
Deletion of file C:\WINDOWS\system32\toolbar.dll failed!

Could not process line:
C:\WINDOWS\system32\toolbar.dll
Status: 0xc0000034



File C:\WINDOWS\Temp\!update.exe not found!
Deletion of file C:\WINDOWS\Temp\!update.exe failed!

Could not process line:
C:\WINDOWS\Temp\!update.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\SQLanguage.ini not found!
Deletion of file C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\SQLanguage.ini failed!

Could not process line:
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\SQLanguage.ini
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\!update.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\!update.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp\!update.exe
Status: 0xc0000034

File C:\WINDOWS\YAXUninst.exe deleted successfully.


Could not open file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll for deletion
Deletion of file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
Status: 0xc000003a

File C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe deleted successfully.


File C:\WINDOWS\system32\pmnqguh.dll not found!
Deletion of file C:\WINDOWS\system32\pmnqguh.dll failed!

Could not process line:
C:\WINDOWS\system32\pmnqguh.dll
Status: 0xc0000034

File C:\WINDOWS\system32\edcdd.ini deleted successfully.


File C:\WINDOWS\system32\ixt0.dll not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll failed!

Could not process line:
C:\WINDOWS\system32\ixt0.dll
Status: 0xc0000034

File C:\WINDOWS\system32\edcdd.bak2 deleted successfully.


File C:\WINDOWS\system32\ismon.exe not found!
Deletion of file C:\WINDOWS\system32\ismon.exe failed!

Could not process line:
C:\WINDOWS\system32\ismon.exe
Status: 0xc0000034

File C:\WINDOWS\system32\ddcde.dll deleted successfully.


File C:\WINDOWS\system32\ot.ico not found!
Deletion of file C:\WINDOWS\system32\ot.ico failed!

Could not process line:
C:\WINDOWS\system32\ot.ico
Status: 0xc0000034



File C:\WINDOWS\system32\isnotify.exe not found!
Deletion of file C:\WINDOWS\system32\isnotify.exe failed!

Could not process line:
C:\WINDOWS\system32\isnotify.exe
Status: 0xc0000034



File C:\WINDOWS\system32\issearch.exe not found!
Deletion of file C:\WINDOWS\system32\issearch.exe failed!

Could not process line:
C:\WINDOWS\system32\issearch.exe
Status: 0xc0000034

File C:\WINDOWS\system32\wcpcc.exe deleted successfully.
File C:\WINDOWS\system32\winword.dll deleted successfully.
File C:\WINDOWS\system32\ddcddaw.dll deleted successfully.
File C:\WINDOWS\system32\winrrt32.dll deleted successfully.
File C:\Programme\ipwins\count.dat deleted successfully.
File C:\Programme\ipwins\data.dat deleted successfully.
File C:\Programme\ipwins\date.dat deleted successfully.
File C:\Programme\ipwins\settings.dat deleted successfully.
File C:\Programme\ipwins\settingsDate.dat deleted successfully.
File C:\Programme\ipwins\Uninst.exe deleted successfully.
File C:\Programme\ipwins\ipwins.exe deleted successfully.


File C:\Programme\ipwins\s154.1.dat not found!
Deletion of file C:\Programme\ipwins\s154.1.dat failed!

Could not process line:
C:\Programme\ipwins\s154.1.dat
Status: 0xc0000034



File C:\Programme\ipwins\s20c.1.dat not found!
Deletion of file C:\Programme\ipwins\s20c.1.dat failed!

Could not process line:
C:\Programme\ipwins\s20c.1.dat
Status: 0xc0000034



File C:\Programme\ipwins\s3rc.1.dat not found!
Deletion of file C:\Programme\ipwins\s3rc.1.dat failed!

Could not process line:
C:\Programme\ipwins\s3rc.1.dat
Status: 0xc0000034



File C:\Programme\ipwins\s3pg.dat not found!
Deletion of file C:\Programme\ipwins\s3pg.dat failed!

Could not process line:
C:\Programme\ipwins\s3pg.dat
Status: 0xc0000034



File C:\Programme\ipwins\sk0.dat not found!
Deletion of file C:\Programme\ipwins\sk0.dat failed!

Could not process line:
C:\Programme\ipwins\sk0.dat
Status: 0xc0000034

File C:\Programme\TClock\tcdll.tclock deleted successfully.


File C:\Programme\TClock\tclock.exe not found!
Deletion of file C:\Programme\TClock\tclock.exe failed!

Could not process line:
C:\Programme\TClock\tclock.exe
Status: 0xc0000034

File C:\Programme\TClock\tclock.ini deleted successfully.


File C:\Programme\TClock\tclock_install.exe not found!
Deletion of file C:\Programme\TClock\tclock_install.exe failed!

Could not process line:
C:\Programme\TClock\tclock_install.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

4: Hijackthis

das angegebene möglichkeit/datei :

Zitat

O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll

sind nicht da.
die anderen waren da ABER beim versuch die "fix checked" auszuführen kam eine fehlermeldung:

Zitat

*An unexpected error has occured at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: C:\WINDOWS\system32\winword.dll)

Please email me at merijn@spywareinfo.com, reportin the following:
*What you were trying to fix when the error occured, if applicabel
*How you can reproduce the error
*A complete HijackThis can log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

und der bericht danach

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 20:14:46, on 23.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Locke\Desktop\VirenFight\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {40D20724-5D3A-43C8-9FF5-2B6F209DBD27} - C:\WINDOWS\system32\bhrw.dll (file missing)
O2 - BHO: (no name) - {D87A62C1-C92A-4B8C-90CF-B112C8D34B02} - C:\WINDOWS\system32\ddcde.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Security Hot Fix] "%SystemRoot%\mshotfix.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\atiprbxx.exe /g
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093077972969
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/soesysinfo.cab
O20 - Winlogon Notify: ddcde - C:\WINDOWS\system32\ddcde.dll (file missing)
O20 - Winlogon Notify: winrrt32 - winrrt32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

5. smitfraudfix
angewendet - bei 2 lässt er dann die windows datenträger bereinigung laufen (??), sieht jedenfalls so aus.
- 1-

Zitat

SmitFraudFix v2.74

Scan done at 20:18:33,76, 23.07.2006
Run from C:\Dokumente und Einstellungen\Locke\Desktop
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Locke\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Locke\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

- 2-

Zitat

SmitFraudFix v2.74

Scan done at 20:34:09,64, 23.07.2006
Run from C:\Dokumente und Einstellungen\Locke\Desktop
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

--------------------------------------
dann die sache mit dem editor:

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}

23.07.2006 19:50 <DIR> .
23.07.2006 19:50 <DIR> ..
05.07.2006 10:44 2.560 services.dll
1 Datei(en) 2.560 Bytes
2 Verzeichnis(se), 9.283.055.616 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Programme\TClock

23.07.2006 19:50 <DIR> .
23.07.2006 19:50 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 9.283.055.616 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Programme\ipwins

23.07.2006 19:50 <DIR> .
23.07.2006 19:50 <DIR> ..
22.07.2006 13:29 1.465 s3ac.dat
1 Datei(en) 1.465 Bytes
2 Verzeichnis(se), 9.283.051.520 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\WINDOWS\system32\components

22.07.2006 21:16 <DIR> .
22.07.2006 21:16 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 9.283.051.520 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 19:52 697 DirectAnimation Java Classes.osd
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
25.07.2002 18:05 172.032 isusweb.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
22.08.2003 22:10 226 opuc.inf
07.01.2002 11:12 46.864 Si.dll
26.04.2004 16:23 253 soesysinfo.inf
26.04.2004 16:29 86.016 soesysinfo.ocx
26.02.2004 13:41 3.888 swflash.inf
03.08.2004 14:51 293 wuweb.inf
11 Datei(en) 532.615 Bytes
0 Verzeichnis(se), 9.283.051.520 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Programme\Common Files

24.08.2003 12:47 <DIR> .
24.08.2003 12:47 <DIR> ..
03.08.2004 21:54 <DIR> System
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 9.283.051.520 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Dokumente und Einstellungen\Locke\Eigene Dateien

04.05.2006 23:09 <DIR> .
04.05.2006 23:09 <DIR> ..
13.07.2006 22:49 <DIR> Eigene Bilder
18.03.2006 18:52 <DIR> Eigene eBooks
09.06.2006 12:40 <DIR> Eigene Musik
18.03.2006 18:37 <DIR> Eigene Videos
04.05.2006 23:09 <DIR> ICQ Lite
18.03.2006 15:13 <DIR> O&O
11.07.2006 09:27 <DIR> Thief - Deadly Shadows
0 Datei(en) 0 Bytes
9 Verzeichnis(se), 9.283.051.520 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Temp

23.07.2006 20:38 <DIR> .
23.07.2006 20:38 <DIR> ..
23.07.2006 19:24 <DIR> AVSETUP_44c3b0d6
23.07.2006 19:50 <DIR> Usob
23.07.2006 20:38 32.768 ~DFA156.tmp
1 Datei(en) 32.768 Bytes
4 Verzeichnis(se), 9.283.051.520 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\WINDOWS\Temp

23.07.2006 20:38 <DIR> .
23.07.2006 20:38 <DIR> ..
23.07.2006 19:26 <DIR> Usob
23.07.2006 16:03 0 win1.tmp
23.07.2006 19:08 0 win10.tmp
23.07.2006 19:08 0 win11.tmp
23.07.2006 19:08 0 win12.tmp
23.07.2006 19:10 0 win13.tmp
23.07.2006 19:10 0 win14.tmp
23.07.2006 19:10 0 win15.tmp
23.07.2006 19:12 0 win16.tmp
23.07.2006 19:12 0 win17.tmp
23.07.2006 19:14 0 win18.tmp
23.07.2006 19:14 0 win19.tmp
23.07.2006 19:16 0 win1A.tmp
23.07.2006 19:16 0 win1B.tmp
23.07.2006 19:18 0 win1C.tmp
23.07.2006 19:18 0 win1D.tmp
23.07.2006 19:20 0 win1E.tmp
23.07.2006 19:20 0 win1F.tmp
23.07.2006 16:05 0 win2.tmp
23.07.2006 19:22 0 win20.tmp
23.07.2006 19:22 0 win21.tmp
23.07.2006 19:24 0 win22.tmp
23.07.2006 19:24 0 win23.tmp
23.07.2006 19:27 0 win24.tmp
23.07.2006 19:27 0 win25.tmp
23.07.2006 19:29 0 win26.tmp
23.07.2006 19:29 0 win27.tmp
23.07.2006 19:31 0 win28.tmp
23.07.2006 19:31 0 win29.tmp
23.07.2006 19:31 0 win2A.tmp
23.07.2006 19:33 0 win2B.tmp
23.07.2006 19:33 0 win2C.tmp
23.07.2006 19:33 0 win2D.tmp
23.07.2006 19:35 0 win2E.tmp
23.07.2006 19:35 0 win2F.tmp
23.07.2006 16:07 0 win3.tmp
23.07.2006 19:35 0 win30.tmp
23.07.2006 19:37 0 win31.tmp
23.07.2006 19:38 0 win32.tmp
23.07.2006 19:38 0 win33.tmp
23.07.2006 19:40 0 win34.tmp
23.07.2006 16:09 0 win4.tmp
23.07.2006 16:11 0 win5.tmp
23.07.2006 16:31 0 win6.tmp
23.07.2006 19:02 0 win7.tmp
23.07.2006 19:02 0 win8.tmp
23.07.2006 19:02 0 win9.tmp
23.07.2006 19:04 0 winA.tmp
23.07.2006 19:04 0 winB.tmp
23.07.2006 15:15 0 winBA.tmp
23.07.2006 15:15 0 winBB.tmp
23.07.2006 15:17 0 winBC.tmp
23.07.2006 15:17 0 winBD.tmp
23.07.2006 15:19 0 winBE.tmp
23.07.2006 15:19 0 winBF.tmp
23.07.2006 19:04 0 winC.tmp
23.07.2006 15:21 0 winC0.tmp
23.07.2006 15:21 0 winC1.tmp
23.07.2006 15:23 0 winC2.tmp
23.07.2006 15:23 0 winC3.tmp
23.07.2006 15:23 0 winC4.tmp
23.07.2006 15:25 0 winC5.tmp
23.07.2006 15:25 0 winC6.tmp
23.07.2006 15:43 0 winC8.tmp
23.07.2006 19:06 0 winD.tmp
23.07.2006 19:06 0 winE.tmp
23.07.2006 19:06 0 winF.tmp
66 Datei(en) 0 Bytes
3 Verzeichnis(se), 9.283.047.424 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Temp

23.07.2006 14:42 <DIR> .
23.07.2006 14:42 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 9.283.047.424 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Programme

23.07.2006 19:27 <DIR> .
23.07.2006 19:27 <DIR> ..
11.05.2006 21:41 <DIR> Adobe
20.03.2006 17:29 <DIR> Ahead
23.03.2003 01:10 <DIR> ATI Technologies
11.05.2006 21:45 <DIR> audiograbber
23.07.2006 15:12 <DIR> CleanUp!
24.08.2003 12:47 <DIR> Common Files
07.03.2005 10:50 <DIR> CommTraffic
22.03.2003 23:22 <DIR> ComPlus Applications
18.03.2006 16:43 <DIR> Creative
04.06.2006 15:58 <DIR> D-Tools
08.05.2004 11:35 <DIR> Defrag
13.04.2006 17:41 <DIR> EPSON
05.05.2005 11:37 <DIR> ESET
04.05.2006 23:01 <DIR> FRITZ!Box
04.05.2006 23:03 <DIR> FRITZ!DSL
22.07.2006 14:26 <DIR> Gemeinsame Dateien
17.05.2006 18:16 <DIR> Generic
04.05.2006 23:10 <DIR> ICQLite
22.07.2006 13:21 <DIR> ICQToolbar
12.07.2006 18:51 <DIR> Inkscape
14.11.2004 17:22 457 INSTALL.LOG
17.06.2006 02:06 <DIR> Internet Explorer
20.03.2006 17:33 <DIR> InterVideo
23.07.2006 19:50 <DIR> ipwins
20.03.2006 19:05 <DIR> Jasc Software Inc
15.05.2006 15:52 <DIR> Java
05.06.2006 19:25 <DIR> LimeWire
14.02.2005 00:54 <DIR> Messenger
23.03.2003 01:38 <DIR> microsoft frontpage
23.03.2003 01:38 <DIR> Microsoft Office
23.03.2003 01:39 <DIR> Microsoft Visual Studio
27.09.2004 19:29 <DIR> Movie Maker
22.07.2006 20:43 <DIR> Mozilla Firefox
20.03.2006 19:45 <DIR> MP3Gain
16.08.2003 13:18 <DIR> Mplayer
22.03.2003 23:21 <DIR> MSN
22.03.2003 23:21 <DIR> MSN Gaming Zone
18.03.2006 16:09 <DIR> MultiRes
20.03.2006 17:29 <DIR> Nero
27.09.2004 19:26 <DIR> NetMeeting
29.12.2004 21:23 <DIR> OfficeUpdate11
22.03.2003 23:21 <DIR> Online Services
22.03.2003 23:23 <DIR> Online-Dienste
17.02.2006 18:41 <DIR> OpenOffice.org1.1.5
13.04.2006 18:03 <DIR> Outlook Express
11.07.2006 10:30 <DIR> PartyGaming
18.03.2006 15:18 <DIR> PowerQuest
18.03.2006 15:31 <DIR> Radeon Omega Drivers
20.03.2006 18:20 <DIR> Real
18.03.2006 14:37 <DIR> RegCleaner
23.07.2006 16:05 <DIR> Roguescanfix
18.03.2005 18:50 <DIR> SAMSUNG
18.03.2005 17:04 <DIR> Seri*hier nicht!* 2000
18.03.2006 13:02 <DIR> Simpli Software
18.03.2006 16:41 <DIR> Sophos
23.07.2006 20:38 <DIR> Sophos SWEEP for NT
23.07.2006 19:27 <DIR> Spybot - Search & Destroy
12.03.2005 01:38 <DIR> Symantec
28.06.2005 22:30 <DIR> T-Online
01.05.2005 21:20 <DIR> T-Online Fotoservice
23.07.2006 19:50 <DIR> TClock
26.03.2006 17:22 <DIR> VideoLAN
04.06.2006 16:15 <DIR> VP3 Codec
28.06.2006 15:48 <DIR> Winamp
18.02.2006 14:47 <DIR> Windows Media Player
27.09.2004 19:26 <DIR> Windows NT
23.03.2003 00:34 <DIR> WinRAR
22.03.2003 23:25 <DIR> xerox
1 Datei(en) 457 Bytes
69 Verzeichnis(se), 9.283.043.328 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Dokumente und Einstellungen\Locke\Lokale Einstellungen\Anwendungsdaten

12.05.2006 18:10 <DIR> Adobe
20.07.2006 15:49 56.320 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
18.03.2006 15:02 32.344 GDIPFONTCACHEV1.DAT
04.05.2006 09:17 <DIR> Help
30.03.2006 11:15 <DIR> Identities
23.07.2006 15:53 <DIR> Microsoft
13.04.2006 17:52 <DIR> Mozilla
2 Datei(en) 88.664 Bytes
5 Verzeichnis(se), 9.283.043.328 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Dokumente und Einstellungen\Locke\Anwendungsdaten

03.06.2006 15:14 <DIR> Adobe
06.07.2006 16:18 <DIR> AdobeUM
18.03.2006 16:09 <DIR> atitray
23.07.2006 15:15 886.744 CleanUp!.log
18.03.2006 16:32 <DIR> Creative
25.04.2006 17:40 <DIR> dvdcss
04.05.2006 23:25 <DIR> EPSON
04.05.2006 09:17 <DIR> Help
20.03.2006 17:31 <DIR> ICQLite
18.03.2006 15:03 <DIR> Identities
12.07.2006 18:52 <DIR> Inkscape
04.05.2006 23:10 <DIR> Macromedia
13.04.2006 17:52 <DIR> Mozilla
21.05.2006 22:56 <DIR> Sun
13.04.2006 17:52 <DIR> Talkback
26.03.2006 17:25 <DIR> vlc
1 Datei(en) 886.744 Bytes
15 Verzeichnis(se), 9.283.039.232 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: EA8C-B4F9

Verzeichnis von C:\Programme\Gemeinsame Dateien

22.07.2006 14:26 <DIR> .
22.07.2006 14:26 <DIR> ..
01.06.2004 14:01 <DIR> Adobe
12.08.2003 14:58 <DIR> Ahead
28.06.2005 20:08 <DIR> AVM
23.03.2003 01:39 <DIR> Designer
22.03.2003 23:22 <DIR> Dienste
06.02.2006 19:49 <DIR> InstallShield
03.09.2004 14:44 <DIR> Java
03.08.2004 21:54 <DIR> Microsoft Shared
22.03.2003 23:22 <DIR> MSSoap
22.03.2003 23:17 <DIR> ODBC
20.03.2006 18:20 <DIR> Real
22.03.2003 23:17 <DIR> SpeechEngines
01.12.2004 18:00 <DIR> SWF Studio
12.03.2005 11:55 <DIR> Symantec Shared
13.04.2006 18:03 <DIR> System
23.07.2006 19:50 <DIR> {EA8CB4F9-0582-1031-0820-020111070031}
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 9.283.039.232 Bytes frei

#4 im abgesicherten modus loeschen:

C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}
C:\WINDOWS\system32\components

C:\Programme\ipwins\s3ac.dat
C:\Programme\ipwins
C:\Programme\TClock

Verzeichnis von C:\WINDOWS\Temp

23.07.2006 19:26 <DIR> Usob
23.07.2006 16:03 0 win1.tmp
23.07.2006 19:08 0 win10.tmp
23.07.2006 19:08 0 win11.tmp
23.07.2006 19:08 0 win12.tmp
23.07.2006 19:10 0 win13.tmp
23.07.2006 19:10 0 win14.tmp
23.07.2006 19:10 0 win15.tmp
23.07.2006 19:12 0 win16.tmp
23.07.2006 19:12 0 win17.tmp
23.07.2006 19:14 0 win18.tmp
23.07.2006 19:14 0 win19.tmp
23.07.2006 19:16 0 win1A.tmp
23.07.2006 19:16 0 win1B.tmp
23.07.2006 19:18 0 win1C.tmp
23.07.2006 19:18 0 win1D.tmp
23.07.2006 19:20 0 win1E.tmp
23.07.2006 19:20 0 win1F.tmp
23.07.2006 16:05 0 win2.tmp
23.07.2006 19:22 0 win20.tmp
23.07.2006 19:22 0 win21.tmp
23.07.2006 19:24 0 win22.tmp
23.07.2006 19:24 0 win23.tmp
23.07.2006 19:27 0 win24.tmp
23.07.2006 19:27 0 win25.tmp
23.07.2006 19:29 0 win26.tmp
23.07.2006 19:29 0 win27.tmp
23.07.2006 19:31 0 win28.tmp
23.07.2006 19:31 0 win29.tmp
23.07.2006 19:31 0 win2A.tmp
23.07.2006 19:33 0 win2B.tmp
23.07.2006 19:33 0 win2C.tmp
23.07.2006 19:33 0 win2D.tmp
23.07.2006 19:35 0 win2E.tmp
23.07.2006 19:35 0 win2F.tmp
23.07.2006 16:07 0 win3.tmp
23.07.2006 19:35 0 win30.tmp
23.07.2006 19:37 0 win31.tmp
23.07.2006 19:38 0 win32.tmp
23.07.2006 19:38 0 win33.tmp
23.07.2006 19:40 0 win34.tmp
23.07.2006 16:09 0 win4.tmp
23.07.2006 16:11 0 win5.tmp
23.07.2006 16:31 0 win6.tmp
23.07.2006 19:02 0 win7.tmp
23.07.2006 19:02 0 win8.tmp
23.07.2006 19:02 0 win9.tmp
23.07.2006 19:04 0 winA.tmp
23.07.2006 19:04 0 winB.tmp
23.07.2006 15:15 0 winBA.tmp
23.07.2006 15:15 0 winBB.tmp
23.07.2006 15:17 0 winBC.tmp
23.07.2006 15:17 0 winBD.tmp
23.07.2006 15:19 0 winBE.tmp
23.07.2006 15:19 0 winBF.tmp
23.07.2006 19:04 0 winC.tmp
23.07.2006 15:21 0 winC0.tmp
23.07.2006 15:21 0 winC1.tmp
23.07.2006 15:23 0 winC2.tmp
23.07.2006 15:23 0 winC3.tmp
23.07.2006 15:23 0 winC4.tmp
23.07.2006 15:25 0 winC5.tmp
23.07.2006 15:25 0 winC6.tmp
23.07.2006 15:43 0 winC8.tmp
23.07.2006 19:06 0 winD.tmp
23.07.2006 19:06 0 winE.tmp
23.07.2006 19:06 0 winF.tmp


scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
a) im normalmodus
b) im abgesicherten modus

---------------------------

Fixe mit dem HijackThis:

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {40D20724-5D3A-43C8-9FF5-2B6F209DBD27} - C:\WINDOWS\system32\bhrw.dll (file missing)
O2 - BHO: (no name) - {D87A62C1-C92A-4B8C-90CF-B112C8D34B02} - C:\WINDOWS\system32\ddcde.dll (file missing)

O20 - Winlogon Notify: ddcde - C:\WINDOWS\system32\ddcde.dll (file missing)
O20 - Winlogon Notify: winrrt32 - winrrt32.dll (file missing)

sollte es nicht funktionieren, gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - winrrt32 + bhrw.dll + ddcde
loesche, was du findest..........
+
PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hi
scheinbar hat es funktioniert - ich sehe jedenfalls nichts mehr.
ist der kram jetzt weg? die ursache für meine störungen eleminiert oder nur die auswirkungen beseitigt?

ewido-scan:

Zitat

in normal-modus

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:57:11 24.07.2006

+ Scan-Ergebnis:



C:\WINDOWS\?ystem\??oolsv.exe -> Adware.PurityScan : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende

im abgesicherten modus:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:57:11 24.07.2006

+ Scan-Ergebnis:



C:\WINDOWS\?ystem\??oolsv.exe -> Adware.PurityScan : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende

#6 Shahyr

poste bitte das neue Log von HijackThis
+
das log von Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 neues log von hijackthis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:42:01, on 24.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\Locke\Desktop\VirenFight\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {40D20724-5D3A-43C8-9FF5-2B6F209DBD27} - C:\WINDOWS\system32\bhrw.dll (file missing)
O2 - BHO: (no name) - {D87A62C1-C92A-4B8C-90CF-B112C8D34B02} - C:\WINDOWS\system32\ddcde.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Security Hot Fix] "%SystemRoot%\mshotfix.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\atiprbxx.exe /g
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093077972969
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/soesysinfo.cab
O20 - Winlogon Notify: ddcde - C:\WINDOWS\system32\ddcde.dll (file missing)
O20 - Winlogon Notify: winrrt32 - winrrt32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

und das log von Winpfind

Zitat

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

""""""""""""""""" Windows OS and Versions """""""""""""""""""""""""""""""
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

""""""""""""""""" Checking Selected Standard Folders """"""""""""""""""""

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 22.08.2004 17:04:56 69120 C:\WINDOWS\daemon.dll
UPX! 18.03.2006 15:31:36 451072 C:\WINDOWS\Radeon Omega Drivers v3.8.221 Uninstall.exe

Checking %System% folder...
aspack 18.03.2005 17:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll
aspack 26.05.2005 15:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll
aspack 22.07.2005 19:59:04 2319568 C:\WINDOWS\SYSTEM32\d3dx9_27.dll
aspack 05.12.2005 18:09:18 2323664 C:\WINDOWS\SYSTEM32\d3dx9_28.dll
aspack 03.02.2006 08:43:16 2332368 C:\WINDOWS\SYSTEM32\d3dx9_29.dll
aspack 31.03.2006 12:40:58 2388176 C:\WINDOWS\SYSTEM32\d3dx9_30.dll
PEC2 18.08.2001 21:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
aspack 07.07.2006 03:21:46 6757792 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 21:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
24.07.2006 15:46:10 S 2048 C:\WINDOWS\bootstat.dat
29.05.2006 18:16:04 S 23751 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB916281.cat
01.06.2006 22:28:44 S 11043 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB918439.cat
24.07.2006 15:46:38 H 1024 C:\WINDOWS\system32\config\default.LOG
24.07.2006 15:46:12 H 1024 C:\WINDOWS\system32\config\SAM.LOG
24.07.2006 15:56:20 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
24.07.2006 16:16:40 H 1024 C:\WINDOWS\system32\config\software.LOG
24.07.2006 15:47:22 H 1024 C:\WINDOWS\system32\config\system.LOG
14.07.2006 01:24:56 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
11.06.2006 22:57:54 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\4b76876a-3728-493d-b668-436e48d2eb1f
11.06.2006 22:57:54 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
24.07.2006 15:46:12 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Creative Technology Ltd. 28.05.2001 14:47:00 32768 C:\WINDOWS\SYSTEM32\AudioHQU.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Creative Technology Ltd. 30.03.2001 03:00:00 230912 C:\WINDOWS\SYSTEM32\CTDETECT.CPL
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 30.09.2004 18:17:14 135168 C:\WINDOWS\SYSTEM32\DIRECTX.CPL
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Ahead Software AG 22.07.2003 16:29:22 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 13:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 21:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 21:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 21:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
RealNetworks, Inc. 20.03.2006 18:20:54 24576 C:\WINDOWS\SYSTEM32\prefscpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 21:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 21:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 21:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 21:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 21:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

""""""""""""""""" Checking Selected Startup Folders """""""""""""""""""""

Checking files in %ALLUSERSPROFILE%\Startup folder...
06.07.2006 16:09:14 1743 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
22.03.2003 23:24:58 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
04.05.2006 23:02:08 679 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk
22.07.2006 02:39:58 1642 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterCheck Monitor.LNK
23.03.2003 01:41:16 1712 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
18.03.2006 16:42:06 800 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Remote Update Monitor.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
14.02.2006 21:27:54 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
22.03.2003 23:17:14 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
11.08.2003 19:38:48 5 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DirectCDUserNameF.txt
04.01.2006 12:23:42 1365 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache

Checking files in %USERPROFILE%\Startup folder...
22.03.2003 23:24:58 HS 84 C:\Dokumente und Einstellungen\Locke\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
23.07.2006 15:15:36 886744 C:\Dokumente und Einstellungen\Locke\Anwendungsdaten\CleanUp!.log
22.03.2003 23:17:14 HS 62 C:\Dokumente und Einstellungen\Locke\Anwendungsdaten\desktop.ini

""""""""""""""""" Checking Selected Registry Keys """""""""""""""""""""""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} = ICQ Toolbar : C:\Programme\ICQToolbar\toolbaru.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6224f700-cba3-4071-b251-47cb894244cd}
ButtonText = ICQ Pro : D:\PROGRA~1\ICQ\ICQ.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}
ButtonText = PartyPoker.com : C:\Programme\PartyGaming\PartyPoker\RunApp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} = ICQ Toolbar : C:\Programme\ICQToolbar\toolbaru.dll
{CBCC61FA-0221-4CCC-B409-CEE865CACA3A} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Jet Detection C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
C-Media Mixer Mixer.exe /startup
Microsoft Security Hot Fix "%SystemRoot%\mshotfix.exe"
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
AtiPTA atiptaxx.exe
WINDVDPatch CTHELPER.EXE
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize
EPSON Stylus DX3800 Series C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
DAEMON Tools-1033 "C:\Programme\D-Tools\daemon.exe" -lang 1033
WinampAgent C:\Programme\Winamp\winampa.exe
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
!ewido "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ATIPRB C:\WINDOWS\system32\atiprbxx.exe /g

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun _
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
{EA8CB4F9-0582-1031-0820-020111070031} "C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe" mc-110-12-0000272

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


"""""""""""""""""""""""" Scan Complete """"""""""""""""""""""""""""""""""
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 24.07.2006 16:19:18

#8 Avenger

Zitat

registry keys to delete:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\{EA8CB4F9-0582-1031-0820-020111070031}

Files to delete:

C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\services.dll
C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe

poste den report nach dem neustart
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hab nur das reinkopiert wie du's oben angegeben hast
gab ne fehlermeldung, hab ich was falsch gemacht?

Zitat

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\{EA8CB4F9-0582-1031-0820-020111070031}


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sththdfr

*******************

Script file located at: \??\C:\ndynvpoo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll for deletion
Deletion of file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
Status: 0xc000003a



Could not open file C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe for deletion
Deletion of file C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}\Update.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

#10 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"{EA8CB4F9-0582-1031-0820-020111070031}"=-

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

im abgesicherten modus loeschen:

C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}

----------------------------------------------------

berichte, ob es geklappt hat
__________
MfG Sabina

rund um die PC-Sicherheit

#11 das einfügen in die regestry hat geklappt.

aber die andere datei bzw ordner - es wird mir nichts dort angezeigt mit diesem namen. kein ordner keine datei, nix. :/

#12 versuche es mit der killbox:
http://virus-protect.org/killbox.html

(All Files einstellen)

C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}

+ PC neustarten

dann berichte, ob es geloescht wurde
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hab ich gemacht
kam wie auf der seite schon hingewiesen die fehlermeldung zum manuellen neustart. vorher sagte das prog. das datei gelöscht worden sei.

und nun?
neue Hijackthis log um zu gucken obs weg ist oder ists nun definitiv weg ??

#14

Zitat

Sabina postete
alles bisher gepostet wird wieder erscheinen - poste nur das hier :

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als file.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die file.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#15 also pass auf, wenn man die bat-Dateien mehrmals anwendet, wird das vorherige gespeichert, deshalb habe ich geschrieben !!!
kopiere nur das allerletzte ab !!!!!!!!!!!!!!!

C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}
__________
MfG Sabina

rund um die PC-Sicherheit