Win AntiVirus Pro 2006 Popups

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.08.2006, 17:23
Member

Beiträge: 13
#1 Hallo!

Nachdem ich mich nun schon 2 Tage mit einer besonders hatnäckigen Malware herumgeschlagen habe, verbleiben auf meinem Rechner nach wie vor Spuren davon. Ich habe bereits dutzende Threads durchgearbeitet (die alle leicht unterschiedliche Lösungen für das Problem bereithielten), den letzten Schliff hat das meinem PC jedoch nicht gebracht.

Nach wie vor öffnen sich in unregelmässigen Abständen Popups die Werbung für Win AntiVirus Pro 2006 machen.

Bereits durchgearbeitet wurden :

SmidfraudFix
CCleaner
Ewido Scan / Adaware Scan
Panda Scan

..und diverse andere Programme.

Ebenfalls habe ich mit KillBox einige der Dateien beseitigt die typisch für diese Art von Malware ist. ("issearch.exe" etc).

Hier erst einmal ein aktueller Scan von Hijackthis Ewido und Panda (letzteres als Anhang, wegen gründlich dämlicher Formatierung)

Vielleicht gibt es ja noch jemanden hier im Forum, der mir weiterhelfen kann.

Gruß,

Berman

-----

Logfile of HijackThis v1.99.1
Scan saved at 17:18:06, on 05.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Anti-Trojan-55\ATWatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Gemeinsame Dateien\{58BB043F-0BB8-1031-0520-040608040031}\Update.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Steganos Security Suite 6\itd.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\CASIO\PCsync\QDCTray.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Dokumente und Einstellungen\NGE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Panda_cleaner_297500] C:\WINDOWS\System32\ActiveScan\pavdr.exe xPanda ActiveScan 297500
O4 - HKCU\..\Run: [SSS6_ITD] "C:\Programme\Steganos Security Suite 6\itd.exe" /booting
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Quick Data Copy.lnk = C:\Programme\CASIO\PCsync\QDCTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D260D3C8-DE66-40C0-B7A7-ECD27BA34AC2}: NameServer = 192.168.151.246
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht---------------------------------------------------------

+ Erstellt um: 23:23:09 03.08.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\NGE\Desktop\backups\backup-20060803-211127-467.dll -> Adware.MediaTickets : Gesäubert.
C:\WINDOWS\YAXUninst.exe -> Adware.MediaTickets : Gesäubert.
C:\WINDOWS\system32\jdbp.dll -> Adware.PurityScan : Gesäubert.
C:\WINDOWS\system32\userinit.dll -> Adware.PurityScan : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Desktop\backups\backup-20060803-211127-705.dll -> Adware.Softomate : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DMJQL27\drsmartload_js[1].html -> Downloader.IstBar.j : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DMJQL27\drsmartload_js[2].html -> Downloader.IstBar.j : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DMJQL27\drsmartload_js[3].html -> Downloader.IstBar.j : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Lokale Einstellungen\Anwendungsdaten\3047b87d.exe -> Downloader.Obfuscated.a : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DMJQL27\wlzip32[2].exe -> Downloader.Obfuscated.a : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DMJQL27\!update-4095[1].0000 -> Downloader.PurityScan.co : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DMJQL27\mulbin32[1].exe -> Downloader.Small : Gesäubert.
C:\WINDOWS\Downloaded Program Files\frame.exe -> Downloader.Small.amq : Gesäubert.
:mozilla.47:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.65:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert.
:mozilla.90:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert.
:mozilla.85:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.86:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.87:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.88:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.89:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.48:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.49:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.64:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@hotlog[1].txt -> TrackingCookie.Hotlog : Gesäubert.
:mozilla.31:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.53:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.63:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@mediaplex[2].txt -> TrackingCookie.Mediaplex : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@overture[1].txt -> TrackingCookie.Overture : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert.
:mozilla.67:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.68:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.69:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.70:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.80:C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Mozilla\Firefox\Profiles\ov75p72o.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@spylog[1].txt -> TrackingCookie.Spylog : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@yadro[1].txt -> TrackingCookie.Yadro : Gesäubert.
C:\Dokumente und Einstellungen\NGE\Cookies\nge@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert.


::Berichtende

-----


EDIT : Hallo! Eines hab ich noch vergessen. Ich kann leider die Prozedur mit der Internetadresse http://virus-protect.org/datfindbat.html nicht durchführen, da sich bei meinem Hauptrechner und meinem Notbook leider der Internet Explorer sofort schliesst. Gibt es eine andere Methode diese Prozedur durchzuführen?

Vielen Dank!

Anhang: Panda.txt
Dieser Beitrag wurde am 05.08.2006 um 18:30 Uhr von Berman editiert.
Seitenanfang Seitenende
05.08.2006, 20:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 datFind.zip --> entzippe datFind.zip --> datFind.bat
http://virus-protect.org/zip/datFind.zip


Kurzanleitung datfindbat

1. Doppel-klick DATFINDBAT

2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

3. auf das Command Fenster klicken und beliebige Taste druecken

4. Es öffnet sich der Texteditor. Speichern als temp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

6. Wiederhole Schritt 3 und speichere als c.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

7. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2006, 21:22
Member

Themenstarter

Beiträge: 13
#3 Hallo Sabina!

Hier kommen die Logs... :

Punkt 2 :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58BB-043F

Verzeichnis von C:\WINDOWS\system32

05.08.2006 21:11 274.368 opqss.ini
05.08.2006 19:16 3.725 nvapps.xml
05.08.2006 16:43 0 asfiles.txt
05.08.2006 16:39 2.550 Uninstall.ico
05.08.2006 16:39 1.406 Help.ico
05.08.2006 16:39 30.590 pavas.ico
05.08.2006 16:11 0 mcrh.tmp
05.08.2006 15:57 268.893 opqss.bak2
05.08.2006 15:55 2.184 wpa.dbl
03.08.2006 21:13 266.968 opqss.bak1
03.08.2006 21:13 573.492 ssqpo.dll

25.07.2006 02:13 10.022 KGyGaAvL.sys
02.06.2006 11:04 57.384 avsda.dll

Punkt 4 :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58BB-043F

Verzeichnis von C:\DOKUME~1\NGE\LOKALE~1\Temp

05.08.2006 20:00 1.212.416 ~DF9295.tmp
05.08.2006 19:59 49.152 ~DFE543.tmp
05.08.2006 19:59 32.768 ~DFD8FA.tmp
05.08.2006 19:59 16.384 ~DFB446.tmp
05.08.2006 19:16 16.384 ~DFB218.tmp
05.08.2006 19:16 206 jusched.log
05.08.2006 16:34 16.384 ~DF810F.tmp
7 Datei(en) 1.343.694 Bytes
0 Verzeichnis(se), 95.756.701.696 Bytes frei

Punkt 5 :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58BB-043F

Verzeichnis von C:\WINDOWS

05.08.2006 19:16 0 0.log
05.08.2006 19:15 2.048 bootstat.dat
05.08.2006 19:10 119.866 ntbtlog.txt
05.08.2006 19:10 120 setupact.log
05.08.2006 19:10 0 setuperr.log
05.08.2006 16:42 584 win.ini
03.08.2006 02:20 1.125 winamp.ini
02.08.2006 21:35 212 SIERRA.INI
25.06.2006 15:15 884 ULEAD32.INI

Punkt 6 :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58BB-043F

Verzeichnis von C:\

05.08.2006 21:16 0 sys.txt
05.08.2006 21:15 4.586 system.txt
05.08.2006 21:13 584 systemtemp.txt
05.08.2006 21:11 98.582 system32.txt
05.08.2006 19:15 1.610.612.736 pagefile.sys
05.08.2006 19:10 661 rapport.txt
05.08.2006 16:13 186 VundoFix.txt
26.06.2006 02:31 4 timestmp.tmp
10.05.2006 17:48 10.485.759.488 Save.sle

Hoffentlich ist es richtig so!

Gruß,

Berman
Seitenanfang Seitenende
06.08.2006, 01:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ** Lade combofix

http://download.bleepingcomputer.com/sUBs/combofix.exe
http://www.techsupportforum.com/sectools/combofix.exe

** doppelklick: combofix.exe

** schreibe "Y"

** warte die Datenträgerbereinigung ab

mit der rechten Maustaste den Text markieren -> kopieren -> im Forum, wo du einen Beitrag eröffnet hast -> einfügen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2006, 02:13
Member

Themenstarter

Beiträge: 13
#5 Hallo Sabina,

hier ist also der Logfile :

Start Time= 06.08.2006 2:07:29,23
Running from: C:\Dokumente und Einstellungen\NGE\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-05 19:56:48 ( .D... ) "C:\Programme\Sunbelt Software"
2006-08-05 16:35:00 ( .D... ) "C:\Programme\AntiVir PersonalEdition Classic"
2006-08-05 16:14:38 ( .D... ) "C:\Programme\CCleaner"
2006-08-03 21:38:56 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-08-03 21:13:06 573492 ( ...H. ) "C:\WINDOWS\system32\ssqpo.dll"
2006-08-03 21:06:00 ( .D... ) "C:\Programme\Gemeinsame Dateien\{58BB043F-0BB8-1031-0520-040608040031}"
2006-07-29 22:39:46 ( .D... ) "C:\Dokumente und Einstellungen\NGE\Anwendungsdaten\Skype"
2006-07-29 22:39:38 ( .D... ) "C:\Programme\Skype"
2006-07-25 02:13:32 10022 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-07-25 02:13:32 10022 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-06-24 02:27:06 ( .D... ) "C:\Programme\Microprose"
2006-06-02 11:04:44 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2004-12-17 00:09:38 3519528 ( A.... ) "C:\Programme\WinAce.zip"
2004-11-14 04:52:28 4440823 ( A.... ) "C:\Programme\Easy CD-DA Extractor 6.zip"
2004-11-14 04:48:56 3961239 ( A.... ) "C:\Programme\Easy CD-DA Extractor 6.ace"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-05 19:09 288.417 C:\WINDOWS\system32\SrchSTS.exe
2006-08-05 16:40 73.728 C:\WINDOWS\system32\asuninst.exe
2006-08-05 16:40 11.776 C:\WINDOWS\system32\ZPORT4AS.dll
2006-08-05 16:35 57.384 C:\WINDOWS\system32\avsda.dll
2006-08-03 21:40 53.248 C:\WINDOWS\system32\Process.exe
2006-08-03 21:40 42.496 C:\WINDOWS\system32\swreg.exe
2006-08-03 21:40 40.960 C:\WINDOWS\system32\swsc.exe
2006-08-03 21:13 573.492 C:\WINDOWS\system32\ssqpo.dll
2006-08-02 21:18 12.800 C:\WINDOWS\system32\WING32.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AT-Watch"="C:\\Programme\\Anti-Trojan-55\\ATWatch.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"SoundMan"="SOUNDMAN.EXE"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Anti-Trojan-Watch"="C:\\Programme\\Anti-Trojan-55\\ATWatch.exe"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunServer"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SSS6_ITD"="\"C:\\Programme\\Steganos Security Suite 6\\itd.exe\" /booting"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{58BB043F-0BB8-1031-0520-040608040031}"="\"C:\\Programme\\Gemeinsame Dateien\\{58BB043F-0BB8-1031-0520-040608040031}\\Update.exe\" mc-110-12-0000272"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"SSS6_Suite"="\"C:\\Programme\\Steganos Security Suite 6\\sss.exe\" /booting"
"SSS6_SAFE"="\"C:\\Programme\\Steganos Security Suite 6\\safe.exe\" /booting"
"SSS6_SPM"="\"C:\\Programme\\Steganos Security Suite 6\\spm.exe\" /booting"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"SSS6_Suite"="\"C:\\Programme\\Steganos Security Suite 6\\sss.exe\" /booting"
"SSS6_SAFE"="\"C:\\Programme\\Steganos Security Suite 6\\safe.exe\" /booting"
"SSS6_SPM"="\"C:\\Programme\\Steganos Security Suite 6\\spm.exe\" /booting"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{E521797A-22DE-4B46-8B2F-8E98AB77B942}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
"{076394AD-7FDD-44EF-A075-32C68DBAB99B}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^NGE^Startmenü^Programme^Autostart^Microsoft-Indexerstellung.lnk]
"path"="C:\\Dokumente und Einstellungen\\NGE\\Startmenü\\Programme\\Autostart\\Microsoft-Indexerstellung.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft-Indexerstellung.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\Office\\FINDFAST.EXE "
"item"="Microsoft-Indexerstellung"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^NGE^Startmenü^Programme^Autostart^Office-Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\NGE\\Startmenü\\Programme\\Autostart\\Office-Start.lnk"
"backup"="C:\\WINDOWS\\pss\\Office-Start.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\Office\\OSA.EXE -b"
"item"="Office-Start"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Trojan-Watch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ATWatch"
"hkey"="HKLM"
"command"="C:\\Programme\\Anti-Trojan-55\\ATWatch.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveMonitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LMonitor"
"hkey"="HKLM"
"command"="C:\\Programme\\MSI\\Live Update 3\\LMonitor.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="icq"
"hkey"="HKCU"
"command"="C:\\Programme\\ICQ\\icq.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mspwr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pupxpman"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\pupxpman.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS6_SAFE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="safe"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Steganos Security Suite 6\\safe.exe\" /booting"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS6_SPM]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="spm"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Steganos Security Suite 6\\spm.exe\" /booting"
"inimapping"="0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder

Completion time: 06.08.2006 2:07:37,39
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

----


Das mit den rot markierten Zeilen aus meinem vorherigen log habe ich noch nicht verstanden, muss ich damit auch etwas machen?

Danke und Gruß,

Berman
Seitenanfang Seitenende
06.08.2006, 14:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Berman

Lade den Firefox, dann kommst du auch auf meine Seiten
http://virus-protect.org/firefox.html

------------------------------

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html
Direkt download
http://www.atribune.org/ccount/click.php?id=4
http://www.atribune.org/content/view/24/2/

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Lade avenger.zip --> http://swandog46.geekstogo.com/avenger.zip --> entpacken
Input script manually (anhaken)
kopiere rein:

Zitat

registry keys to delete:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqpo

Files to delete:

C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\opqss.bak2
C:\WINDOWS\system32\opqss.bak1
C:\WINDOWS\system32\ssqpo.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
smitfraud.fix anwenden
http://virus-protect.org/artikel/tools/smitfrautfix.html
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip --> SmitfraudFix -> auf dem Desktop
1. doppelklick smitfraudfix.cmd
2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
3. starte den PC neu und drücke beim Hochfahren die Taste F8 und wähle "Abgesicherter Modus"
4. doppelklick smitfraudfix.cmd
5. schreibe: 2
6. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt]

**
boote in den abgesicherten Modus und loesche:

C:\Programme\Gemeinsame Dateien\{58BB043F-0BB8-1031-0520-040608040031}

----------------------------

mache unbedingt die Windowsupdates, ich verstehe nicht, wie du dich ohne ins net traust................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2006, 19:37
Member

Themenstarter

Beiträge: 13
#7 Hallo Sabina!

Hier das Avenger und SmitfraudFixLogfile :


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system


Error: could not create zip file.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gbhkaldv

*******************

Script file located at: \??\C:\aopbxqbc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\opqss.ini deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\opqss.bak2 deleted successfully.
File C:\WINDOWS\system32\opqss.bak1 deleted successfully.
File C:\WINDOWS\system32\ssqpo.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqpo deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////



Habe massig Fehlermeldungen beim ausführen von Avenger bekommen, hoffentlich klappts trotzdem.

Gruß,

Berman
Dieser Beitrag wurde am 06.08.2006 um 20:03 Uhr von Berman editiert.
Seitenanfang Seitenende
06.08.2006, 20:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es scheint geklappt zu haben,

*
smitfraud.fix anwenden

*
boote in den abgesicherten Modus und loesche:

C:\Programme\Gemeinsame Dateien\{58BB043F-0BB8-1031-0520-040608040031}

*
mache bitte einen Onlinescan mit panda und post den report
http://www.pandasoftware.com/products/activescan.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2006, 22:30
Member

Themenstarter

Beiträge: 13
#9 Hallo Sabina!

Den Onlinescan hänge ich als Datei an weil es sonst ein wenig unübersichtlich wird!

Gruß,

Berman


Incident Status Location

Adware:adware/xplugin Not disinfected c:\windows\nsdb
Adware:adware/safesearch Not disinfected Windows Registry
Adware:adware/powerstrip Not disinfected Windows Registry
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Administrator.BERMAN\Desktop\SmitfraudFix\Process.exe
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\NGE\Cookies\nge@as-eu.falkag[2].txt
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\NGE\Cookies\nge@perf.overture[1].txt
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\NGE\Cookies\nge@tribalfusion[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\NGE\Desktop\Fixes\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\NGE\Desktop\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\NGE\Desktop\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Spyware:Spyware/SafeSurf Not disinfected C:\Downloads\miranda-im-0401-web.exe[²ÜÇ\ExtractDLL.dll]
Spyware:Spyware/SafeSurf Not disinfected C:\Shared\miranda-im-0401-web.exe[²ÜÇ\ExtractDLL.dll]
Adware:Adware/XPlugin Not disinfected C:\WINDOWS\nsdb\hosts
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe

Seitenanfang Seitenende
06.08.2006, 22:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
loesche manuell:

C:\Downloads\miranda-im-0401-web.exe
C:\Shared\miranda-im-0401-web.exe
c:\windows\nsdb

2.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

3.
dann gehe bitte noch mal auf eine von meinen Seiten und berichte, ob es nun klappt damit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.08.2006, 16:18
Member

Themenstarter

Beiträge: 13
#11 Hallo Sabina!

Seit gestern ist nichts mehr aufgetaucht! Vielen lieben Dank schon einmal dafür.

Miranda ist eigentlich ein Chatprogramm, welches ICQ MSN und AIM verwaltet. Habe die Files sicherheitshalber aber mal alle gelöscht. Hoster wurde auch ausgeführt.

Die Seite über die Datfindbat schliesst nach wie vor den Browser, dies ist jedoch auch bei meinem Notebook der fall. Vielleicht liegts an den Routereinstellungen?

Soll ich noch irgendetwas neu Scannen & posten?

Gruß,

Berman
Dieser Beitrag wurde am 07.08.2006 um 16:23 Uhr von Berman editiert.
Seitenanfang Seitenende
07.08.2006, 17:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 scanne mit bitdefender und poste den report
http://virus-protect.org/onlinescan.html
http://www.bitdefender.de/scan8/ie.html

(schliessen sich meine Seiten auch mit dem Browser Firefox ? )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.08.2006, 17:39
Member

Themenstarter

Beiträge: 13
#13 Hallo!

Der Scan läuft grade. Ich glaube allerdings, dass sich schon wieder etwas eingeschlichen hat... hier noch einmal ein aktueller Hijackthis logfile.

Was haben die ganzen neuen Einträge bei "O2" zu bedeuten? Die waren vor einigen Minuten noch nicht da... die Onlineauswertung zeigt sie als "unnötig" an.

Logfile of HijackThis v1.99.1
Scan saved at 17:34:54, on 07.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Anti-Trojan-55\ATWatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Steganos Security Suite 6\itd.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\CASIO\PCsync\QDCTray.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\NGE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {2AAEEBA1-723D-54EC-15FD-2C2755F8ECC4} - C:\WINDOWS\System32\jdbp.dll (file missing)
O2 - BHO: (no name) - {9580269F-25B7-43FC-A63C-93745587E8F9} - C:\WINDOWS\System32\ssqpo.dll (file missing)
O2 - BHO: (no name) - {E521797A-22DE-4B46-8B2F-8E98AB77B942} - C:\WINDOWS\System32\urqopol.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SSS6_ITD] "C:\Programme\Steganos Security Suite 6\itd.exe" /booting
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Quick Data Copy.lnk = C:\Programme\CASIO\PCsync\QDCTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D260D3C8-DE66-40C0-B7A7-ECD27BA34AC2}: NameServer = 192.168.151.246
O20 - Winlogon Notify: urqopol - urqopol.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----

Gruß,

Berman



EDIT :


Irgendwie ist beim Speichern des Berichtes was schiefgelaufen, er liegt nur in HTML durch. Ich habe den Scanner nun noch einmal durchlaufen lassen, beim zweiten Mal hat er nichts mehr angezeigt.
Dieser Beitrag wurde am 07.08.2006 um 20:17 Uhr von Berman editiert.
Seitenanfang Seitenende
07.08.2006, 20:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {2AAEEBA1-723D-54EC-15FD-2C2755F8ECC4} - C:\WINDOWS\System32\jdbp.dll (file missing)
O2 - BHO: (no name) - {9580269F-25B7-43FC-A63C-93745587E8F9} - C:\WINDOWS\System32\ssqpo.dll (file missing)
O2 - BHO: (no name) - {E521797A-22DE-4B46-8B2F-8E98AB77B942} - C:\WINDOWS\System32\urqopol.dll (file missing)

O20 - Winlogon Notify: urqopol - urqopol.dll (file missing)
PC neustarten

dann sollte wieder alles o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.08.2006, 14:44
Member

Themenstarter

Beiträge: 13
#15 Es ist tatsächlich wieder alles in Ordnung! Vielen Dank!

Gruß,

Berman
Seitenanfang Seitenende