W32/Nsag.B - Wer kann mich unterstützen den loszuwerden ?

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.07.2006, 22:24
Member

Beiträge: 16
#1 Auch auf meinem PC, XP-Home hat sich der Widerling eingenistet und ärgert mich boshaft. Bin auch nicht der große Experte. Kann mir jemand helfen, den Bösewicht zu killen ? Mit freundlichen Grüßen
Jürgen
__________
zauberhafte Grüße
Jürgen (Yogi53)
Dieser Beitrag wurde am 23.07.2006 um 22:34 Uhr von yogi53 editiert.
Seitenanfang Seitenende
24.07.2006, 00:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 poste hier diese logs, dann schaue ich nach ;)
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 09:49
Member

Themenstarter

Beiträge: 16
#3 Hi Sabina,
vielen Dank fuer Dein Angebot zu helfen.
hier das Logfile von Hijack this :

Logfile of HijackThis v1.99.1
Scan saved at 09:41:49, on 24.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\Jog Dial Utility\JogServ2.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Sony\10Key Utility\va10key.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

------------------------------------------------------------------------
Außerdem habe ich noch einen Scan mit meinem Antivir PE 7.0 gemacht.
Das Ergebnis hier :

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 24. Juli 2006 08:06

Es wird nach 462117 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: Jürgen
Computername: NOTEBOOK

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 23.07.2006 19:13:10
AVSCAN.DLL : 7.0.0.42 57384 23.07.2006 19:13:10
LUKE.DLL : 7.0.0.42 118824 23.07.2006 19:13:10
LUKERES.DLL : 7.0.0.42 32808 23.07.2006 19:13:10
ANTIVIR0.VDF : 6.35.0.1 7371264 23.07.2006 19:13:10
ANTIVIR1.VDF : 6.35.0.168 730112 23.07.2006 19:13:10
ANTIVIR2.VDF : 6.35.0.240 226304 23.07.2006 19:13:10
ANTIVIR3.VDF : 6.35.0.243 11776 23.07.2006 19:13:10
AVEWIN32.DLL : 7.1.0.24 1556992 23.07.2006 19:13:10
AVPREF.DLL : 7.0.0.1 53288 23.07.2006 19:13:10
AVREP.DLL : 6.35.0.222 725032 23.07.2006 19:13:10
AVRPBASE.DLL : 7.0.0.0 2162728 23.07.2006 19:13:10
AVPACK32.DLL : 7.1.0.1 335912 23.07.2006 19:13:10
AVREG.DLL : 6.31.0.90 27688 23.07.2006 19:13:10
NETNT.DLL : 6.32.0.0 6696 23.07.2006 19:13:11
NETNW.DLL : 6.32.0.0 9768 23.07.2006 19:13:11
RCIMAGE.DLL : 7.0.0.71 1642536 23.07.2006 19:13:12
RCTEXT.DLL : 7.0.0.75 77864 23.07.2006 19:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Montag, 24. Juli 2006 08:06


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 33 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 21 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jürgen\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jürgen\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jürgen\Anwendungsdaten\Mozilla\Firefox\Profiles\izob5iqj.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ307271$\usbuhci.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ307271$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ307271$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ307274$\shgina.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308374$\ohci1394.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308374$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308374$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308677$\userenv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309056$\syscomponentinfo.js
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309056$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309056$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309691$\cdrom.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309691$\imapi.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309691$\imapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309691$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ309691$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312131$\msobmain.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312131$\msobshel.htm
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312131$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312131$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\upnp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\WININET.dll.vir
[FUND] Enthält Signatur des Windows-Virus W32/Nsag.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '451278cd.qua' verschoben!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ich muss jetzt leider gleich weg, habe zwar Urlaub, hab aber heut einen
Termin beim Kiefernchirurgen. Bin heute nachmittag / Heute abend
aber wieder online.

Nochmals herzlichen Dank im Voraus. Tolles Forum !

Jürgen / Hannover
__________
zauberhafte Grüße
Jürgen (Yogi53)
Seitenanfang Seitenende
24.07.2006, 12:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 arbeite smitrem ab und poste unbedingt den scanreport
http://virus-protect.org/artikel/tools/smitrem.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 19:40
Member

Themenstarter

Beiträge: 16
#5 Hallo Sabina,

habe hoffentlich alles richtig gemacht.
hier das Textfile, welches ich nach dem Durchlauf auf C:\ entdeckt habe:

smitRem © log file
version 3.1

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\downloads\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32]
@="C:\WINDOWS\q208680_disk.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Trust Cleaner Fix © by noahdfear



Starting Trust Cleaner uninstaller

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


SpyHeal uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 676 'explorer.exe'
Killing PID 676 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32]
@="C:\WINDOWS\q208680_disk.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! ;)
-------------------------------------------------------------------
Hmmmm.....
Sollte ich meinen kleinen Untermieter schon los sein ???
Zumindest meldet Antivir sich gar nicht mehr, wenn ich
bei ebay oder tv-tv die Fenster öffne und schließe.....

Herzliche Grüße
Yogi53 - Jürgen
__________
zauberhafte Grüße
Jürgen (Yogi53)
Dieser Beitrag wurde am 24.07.2006 um 19:52 Uhr von yogi53 editiert.
Seitenanfang Seitenende
24.07.2006, 20:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 zur Ueberpruefung:

scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
Option 1 - poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 21:03
Member

Themenstarter

Beiträge: 16
#7 Hallo Sabina,

hier das log:

SmitFraudFix v2.74

Scan done at 21:02:25,30, 24.07.2006
Run from C:\downloads\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Jrgen\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\JRGEN~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor"

[HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32]
@="C:\WINDOWS\q208680_disk.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32]
@="C:\WINDOWS\q208680_disk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
__________
zauberhafte Grüße
Jürgen (Yogi53)
Seitenanfang Seitenende
24.07.2006, 21:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 wende option 2 an und poste den report (lasse auch die registry mitreinigen)
+
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 21:08
Member

Themenstarter

Beiträge: 16
#9 Hier das Ergebnis:

SmitFraudFix v2.74

Scan done at 21:05:37,58, 24.07.2006
Run from C:\downloads\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor"

[HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32]
@="C:\WINDOWS\q208680_disk.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32]
@="C:\WINDOWS\q208680_disk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\q208680_disk.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
__________
zauberhafte Grüße
Jürgen (Yogi53)
Seitenanfang Seitenende
24.07.2006, 21:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 21:16
Member

Themenstarter

Beiträge: 16
#11 Uppps, jetz etwas langsam bitte....
Habe jetzt eine Datei, die heißt "Silent Runners.vbs"
Soll ich die starten ?

DAs unter Punkt 2 mit den 4 Textdateien hab ich gar nicht verstanden....

sorry .... bitte erklärbär
__________
zauberhafte Grüße
Jürgen (Yogi53)
Seitenanfang Seitenende
24.07.2006, 21:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 was den Silentrunner betrifft...es ist genaustens auf der Seite erklaert

was datfindbat betrifft : ebenfalls ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 21:38
Member

Themenstarter

Beiträge: 16
#13 Hi Sabina ,

Hier schonmal das logfile von Silentrunners
weiter unten die Logfiles von datfindbat.....


"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"Apoint" = "C:\Programme\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."]
"HKSERV.EXE" = "C:\Programme\Sony\HotKey Utility\HKserv.exe" ["Sony Corporation"]
"JOGSERV2.EXE" = "C:\Programme\Sony\Jog Dial Utility\JogServ2.exe" ["Sony Corporation"]
"va10key" = "C:\Programme\Sony\10Key Utility\va10key.exe" ["Sony"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "C:\Programme\ahead\Nero\neroshx.dll" [file not found]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Jürgen" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"PowerPanel" -> shortcut to: "C:\Programme\PowerPanel\Program\PcfMgr.exe /launch" ["Phoenix Technologies Ltd."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.club-vaio.sony-europe.com

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 687 seconds, including 18 seconds for message boxes)

---------------------------------------------------------------------------
Hier nun die gewünschten Teile aus datfindbat
1:
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: A0F3-11B6

Verzeichnis von C:\WINDOWS\system32

17.07.2006 17:51 1.136 wpa.dbl
02.06.2006 11:04 57.384 avsda.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 176.128 pxmas.dll
27.04.2006 17:49 288.417 SrchSTS.exe
02.04.2006 13:40 311.938 perfh009.dat
02.04.2006 13:40 40.326 perfc009.dat
02.04.2006 13:40 317.168 perfh007.dat
02.04.2006 13:40 48.552 perfc007.dat
02.04.2006 13:40 723.568 PerfStringBackup.INI
05.02.2006 13:28 7.006 jupdate-1.5.0_06-b05.log
09.01.2006 10:36 40.960 swsc.exe
09.01.2006 10:36 42.496 swreg.exe

2. systemtemp.txt
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: A0F3-11B6

Verzeichnis von C:\DOKUME~1\JRGEN~1\LOKALE~1\Temp

3. system.txt (entgegen Anleitung , die sagt windows.txt)
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: A0F3-11B6

Verzeichnis von C:\WINDOWS

24.07.2006 21:06 2.413 setupact.log
24.07.2006 19:36 0 0.log
24.07.2006 19:36 157 wiadebug.log
24.07.2006 19:36 50 wiaservc.log
24.07.2006 19:35 2.048 bootstat.dat
24.07.2006 19:34 581.920 ntbtlog.txt
24.07.2006 19:25 32.632 SchedLgU.Txt
23.07.2006 22:07 0 setuperr.log
23.07.2006 21:11 15.445 wmsetup.log
23.07.2006 21:11 533.165 setupapi.log
23.07.2006 21:11 316.640 WMSysPr9.prx
23.07.2006 21:11 299.552 WMSysPrx.prx
19.07.2006 19:32 376 mozregistry.dat
19.07.2006 19:27 7.984 Windows Update.log
17.07.2006 17:56 6.406 COOL.INI
17.07.2006 17:56 0 COOLSYS.INI
17.07.2006 17:56 10.677 coolkb2k.ini
17.07.2006 17:56 27 winzip32.ini
17.07.2006 17:56 623 win.ini
26.05.2006 14:06 4.186 ModemLog_Conexant-Ambit SoftK56 Data,Fax ICH Modem.txt
02.04.2006 13:50 11.246 mozver.dat
11.02.2006 22:56 107.134 UninstallFirefox.exe

4. sys.txt
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: A0F3-11B6

Verzeichnis von C:\

24.07.2006 21:46 0 sys.txt
24.07.2006 21:43 10.045 system.txt
24.07.2006 21:42 126 systemtemp.txt
24.07.2006 21:39 103.665 system32.txt
24.07.2006 21:07 1.314 rapport.txt
24.07.2006 19:35 267.436.032 hiberfil.sys
24.07.2006 19:35 536.870.912 pagefile.sys
24.07.2006 19:30 4.052 smitfiles.txt
19.07.2006 19:48 0 temp.html
11.01.2006 19:06 35 Default.PLS
08.01.2006 16:21 543.905.644 bingo und bongo 08-01-2006.mpg

Danach hat sich datfindbat command-Fenster geschlossen.

uffff.....
__________
zauberhafte Grüße
Jürgen (Yogi53)
Dieser Beitrag wurde am 24.07.2006 um 21:47 Uhr von yogi53 editiert.
Seitenanfang Seitenende
24.07.2006, 22:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 **
scanne mit ewido (Online) und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2006, 22:40
Member

Themenstarter

Beiträge: 16
#15 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hriuoykv

*******************

Script file located at: \??\C:\WINDOWS\hcifmbte.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\coolkb2k.ini deleted successfully.
File C:\WINDOWS\winzip32.ini deleted successfully.
File C:\temp.html deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Wenn ich ewido-onlinescan installieren will, sagt mir der Installer, daß
die ewido anti-spy-ware bereits auf dem rechner läuft.
__________
zauberhafte Grüße
Jürgen (Yogi53)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: