Trojaner: Desktophintergrund verändert u ich bekomm es nicht weg

#1 hallo zusammen!
hoffe und bitte: hilfe!!!!
habe schon fast alles versucht, was ich unter TR/puper.bx finden konnte.
zuerst ist auch alle 5 min antivir mit warnungen aufgeblendet, aber ich konnte mir nur den puper merken;-)
jetzt findet keiner mehr was, aber ich hab immer noch den mist und mein desktophintergrung ist ein werbebanner für ein anti spyware programm!
was kann ich machen!
wäre super, wenn mir da nochmal einer helfen könnte
bei hijackthis steht das:


Logfile of HijackThis v1.99.0
Scan saved at 19:35:04, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intruder-pbhc.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
R3 - URLSearchHook: (no name) - {31D3BBF4-2309-877F-DD95-E1690F2E6A9C} - startman.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\System32\IEHost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [sound64] cnftips.exe
O4 - HKLM\..\Run: [init32] lpt.exe
O4 - HKLM\..\Run: [psuhj.exe] C:\WINDOWS\system32\psuhj.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [scanSYS] cnftips.exe
O4 - HKCU\..\Run: [SAPSTR] KeywordFinder.exe
O4 - HKCU\..\Run: [backd] gabber.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0500BB3-E6FC-4A6E-A5A8-D2595107A996}: NameServer = 85.255.115.46,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAFA8188-ED5D-4E6B-B806-34BBAAEC1374}: NameServer = 85.255.115.46,85.255.112.230
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.230
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#2
KillAndClean
http://virus-protect.org/artikel/spyware/killandclean.html

------------------------------------------------------------------

0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\KillAndClean" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
notepad files.txt

1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> poste den text

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download FixWareout
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt


[/color]
__________
MfG Sabina

rund um die PC-Sicherheit

#3 danke für die schnelle hilfe!
hier der text, den ich posten sollte:

08/07/06 22:32:32 [Info]: BlackLight Engine 1.0.42 initialized
08/07/06 22:32:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/06 22:32:32 [Note]: 7019 4
08/07/06 22:32:32 [Note]: 7005 0
08/07/06 22:32:49 [Note]: 7006 0
08/07/06 22:32:49 [Note]: 7011 1688
08/07/06 22:32:49 [Note]: 7026 0
08/07/06 22:32:49 [Note]: 7026 0
08/07/06 22:32:58 [Note]: FSRAW library version 1.7.1019
08/07/06 22:34:15 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe
08/07/06 22:34:15 [Note]: 10002 1
08/07/06 22:34:17 [Info]: Hidden file: c:\WINDOWS\system32\dmgst.exe
08/07/06 22:34:17 [Note]: 7002 32
08/07/06 22:34:17 [Note]: 7003 1
08/07/06 22:34:17 [Note]: 10002 1
08/07/06 22:34:20 [Info]: Hidden file: c:\WINDOWS\system32\kilacln.exe
08/07/06 22:34:20 [Note]: 10002 1
08/07/06 22:34:21 [Info]: Hidden file: c:\WINDOWS\system32\csipd.exe
08/07/06 22:34:21 [Note]: 7002 32
08/07/06 22:34:21 [Note]: 7003 1
08/07/06 22:34:21 [Note]: 10002 1
08/07/06 22:34:22 [Info]: Hidden file: c:\WINDOWS\system32\{592AAFB2-4AA8-4651-B9A6-63619FEBF098}.exe
08/07/06 22:34:26 [Note]: 7002 5
08/07/06 22:34:26 [Note]: 7003 1
08/07/06 22:34:26 [Note]: 10002 1
08/07/06 22:34:26 [Info]: Hidden file: c:\WINDOWS\system32\{F4B43272-AB06-4B2E-8348-4662F0A79C00}.exe
08/07/06 22:34:26 [Note]: 10002 1
08/07/06 22:35:04 [Note]: 2000 1006
08/07/06 22:37:36 [Note]: 7007 0


das mit den 4 textdateien unter punkt 2 kapier ich nicht oder ich mach irgendwas falsch. wenn ich das mache öffnet sich der editor und zeigt mir den inhalt von laufwerk e!? wenn ich listen.bat öffne, erscheint das hier:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten

29.03.2006 21:31 <DIR> Adobe
26.06.2006 11:57 <DIR> AdobeUM
01.06.2006 00:22 <DIR> Ahead
08.12.2004 23:49 <DIR> Apple Computer
01.01.2005 18:02 <DIR> Applied Acoustics Systems
15.12.2004 19:52 <DIR> CyberLink
06.12.2004 00:39 0 dm.ini
06.06.2006 20:42 38.144 GDIPFONTCACHEV1.DAT
27.09.2005 23:43 <DIR> Google
03.07.2004 22:53 <DIR> Help
16.10.2004 16:20 <DIR> Identities
26.01.2005 23:44 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
15.06.2005 00:00 <DIR> Lavasoft
15.11.2005 13:41 <DIR> Macromedia
21.12.2004 21:59 <DIR> Mozilla
09.12.2004 00:14 <DIR> Real
27.02.2005 23:25 <DIR> Sun
28.05.2005 20:57 <DIR> Talkback
21.04.2006 19:39 <DIR> Ulead Systems


der link unter punkt 3 hat nicht funktioniert!??
werd ich später nochmal versuchen!

besten dank nochmmal!
wie gehts denn weiter?



alles klar.
mittlerweile meldet sich auch antivir wieder...
abwechselnd werden der puper.bx und TR/Dldr.DNSChan.R.S angezeigt.
kann es auch sein, dass sich das auf meine internetverbindung für die play station auswirkt? das funktioniert nämlich nicht mehr. benutze für die playse den gleichen routereingang (hab nur einen) wie für den pc.
danke

#4 deine derzeitige Internetverbindung wird in die Ukraine geleitet.............

1.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten.
doppelklick: blbeta.exe
nach dem Check klicke -- next

2.
erstelle eine neu.bat und poste den text

Zitat

cd\
dir "C:\Programme\KillAndClean" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
notepad files.txt

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
Download FixWareout
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt - poste den text.

wenn ich alle Daten habe, beginnt die reinigung

__________
__________
MfG Sabina

rund um die PC-Sicherheit

#5 man dankt!
bei neu.bat erscheint das:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten

29.03.2006 21:31 <DIR> Adobe
26.06.2006 11:57 <DIR> AdobeUM
01.06.2006 00:22 <DIR> Ahead
08.12.2004 23:49 <DIR> Apple Computer
01.01.2005 18:02 <DIR> Applied Acoustics Systems
15.12.2004 19:52 <DIR> CyberLink
06.12.2004 00:39 0 dm.ini
06.06.2006 20:42 38.144 GDIPFONTCACHEV1.DAT
27.09.2005 23:43 <DIR> Google
03.07.2004 22:53 <DIR> Help
16.10.2004 16:20 <DIR> Identities
26.01.2005 23:44 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
15.06.2005 00:00 <DIR> Lavasoft
15.11.2005 13:41 <DIR> Macromedia
21.12.2004 21:59 <DIR> Mozilla
09.12.2004 00:14 <DIR> Real
27.02.2005 23:25 <DIR> Sun
28.05.2005 20:57 <DIR> Talkback
21.04.2006 19:39 <DIR> Ulead Systems
27.04.2006 16:02 5 wo.tmp
4 Datei(en) 38.154 Bytes
17 Verzeichnis(se), 7.034.642.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten

29.03.2006 21:31 <DIR> Adobe
26.06.2006 11:57 <DIR> AdobeUM
01.06.2006 00:22 <DIR> Ahead
08.12.2004 23:49 <DIR> Apple Computer
01.01.2005 18:02 <DIR> Applied Acoustics Systems
15.12.2004 19:52 <DIR> CyberLink
06.12.2004 00:39 0 dm.ini
06.06.2006 20:42 38.144 GDIPFONTCACHEV1.DAT
27.09.2005 23:43 <DIR> Google
03.07.2004 22:53 <DIR> Help
16.10.2004 16:20 <DIR> Identities
26.01.2005 23:44 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
15.06.2005 00:00 <DIR> Lavasoft
15.11.2005 13:41 <DIR> Macromedia
21.12.2004 21:59 <DIR> Mozilla
09.12.2004 00:14 <DIR> Real
27.02.2005 23:25 <DIR> Sun
28.05.2005 20:57 <DIR> Talkback
21.04.2006 19:39 <DIR> Ulead Systems
27.04.2006 16:02 5 wo.tmp
4 Datei(en) 38.154 Bytes
17 Verzeichnis(se), 7.024.517.120 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten

29.03.2006 21:31 <DIR> Adobe
26.06.2006 11:57 <DIR> AdobeUM
01.06.2006 00:22 <DIR> Ahead
08.12.2004 23:49 <DIR> Apple Computer
01.01.2005 18:02 <DIR> Applied Acoustics Systems
15.12.2004 19:52 <DIR> CyberLink
06.12.2004 00:39 0 dm.ini
06.06.2006 20:42 38.144 GDIPFONTCACHEV1.DAT
27.09.2005 23:43 <DIR> Google
03.07.2004 22:53 <DIR> Help
16.10.2004 16:20 <DIR> Identities
26.01.2005 23:44 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
15.06.2005 00:00 <DIR> Lavasoft
15.11.2005 13:41 <DIR> Macromedia
21.12.2004 21:59 <DIR> Mozilla
09.12.2004 00:14 <DIR> Real
27.02.2005 23:25 <DIR> Sun
28.05.2005 20:57 <DIR> Talkback
21.04.2006 19:39 <DIR> Ulead Systems
3 Datei(en) 38.149 Bytes
17 Verzeichnis(se), 7.022.899.200 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten

29.03.2006 21:31 <DIR> Adobe
26.06.2006 11:57 <DIR> AdobeUM
01.06.2006 00:22 <DIR> Ahead
08.12.2004 23:49 <DIR> Apple Computer
01.01.2005 18:02 <DIR> Applied Acoustics Systems
15.12.2004 19:52 <DIR> CyberLink
06.12.2004 00:39 0 dm.ini
06.06.2006 20:42 38.144 GDIPFONTCACHEV1.DAT
27.09.2005 23:43 <DIR> Google
03.07.2004 22:53 <DIR> Help
16.10.2004 16:20 <DIR> Identities
26.01.2005 23:44 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
15.06.2005 00:00 <DIR> Lavasoft
15.11.2005 13:41 <DIR> Macromedia
21.12.2004 21:59 <DIR> Mozilla
09.12.2004 00:14 <DIR> Real
27.02.2005 23:25 <DIR> Sun
28.05.2005 20:57 <DIR> Talkback
21.04.2006 19:39 <DIR> Ulead Systems
3 Datei(en) 38.149 Bytes
17 Verzeichnis(se), 7.022.899.200 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten

29.03.2006 21:31 <DIR> Adobe
26.06.2006 11:57 <DIR> AdobeUM
01.06.2006 00:22 <DIR> Ahead
08.12.2004 23:49 <DIR> Apple Computer
01.01.2005 18:02 <DIR> Applied Acoustics Systems
15.12.2004 19:52 <DIR> CyberLink
06.12.2004 00:39 0 dm.ini
06.06.2006 20:42 38.144 GDIPFONTCACHEV1.DAT
27.09.2005 23:43 <DIR> Google
03.07.2004 22:53 <DIR> Help
16.10.2004 16:20 <DIR> Identities
26.01.2005 23:44 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
15.06.2005 00:00 <DIR> Lavasoft
15.11.2005 13:41 <DIR> Macromedia
21.12.2004 21:59 <DIR> Mozilla
09.12.2004 00:14 <DIR> Real
27.02.2005 23:25 <DIR> Sun
28.05.2005 20:57 <DIR> Talkback
21.04.2006 19:39 <DIR> Ulead Systems
3 Datei(en) 38.149 Bytes
17 Verzeichnis(se), 7.022.903.296 Bytes frei



die 4 textdateien:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\WINDOWS\system32

07.08.2006 17:40 40.128 perfc009.dat
07.08.2006 17:40 311.740 perfh009.dat
07.08.2006 17:40 48.354 perfc007.dat
07.08.2006 17:40 316.924 perfh007.dat
07.08.2006 17:40 723.744 PerfStringBackup.INI
07.08.2006 17:38 155.568 FNTCACHE.DAT
07.08.2006 14:33 2.206 wpa.dbl
07.08.2006 14:07 705 {62ABAC56-5055-451A-A953-5E566626238E}.exe
07.08.2006 14:07 8.329 {9C50F97F-8D43-4753-8DAE-5E167BED3D6A}.exe
07.08.2006 02:51 45.568 {F4B43272-AB06-4B2E-8348-4662F0A79C00}.exe.ren
07.08.2006 02:50 51.214 cseif.exe.ren
06.07.2006 18:21 6.757.792 MRT.exe
22.06.2006 12:47 181.248 rasmans.dll
12.06.2006 20:05 38.144 GDIPFONTCACHEV1.DAT
11.06.2006 19:04 57.384 avsda.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
31.05.2006 12:13 425.020 kilacln.exe.ren
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 16:14 602.632 filesafer23.exe.ren
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
17.05.2006 11:23 579.888 LegitCheckControl.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\DOKUME~1\BRLL~1\LOKALE~1\Temp

08.08.2006 20:38 1.428 jusched.log
08.08.2006 20:35 240 datFind.zip
08.08.2006 19:01 447 aek44.tmp
08.08.2006 18:55 447 mgo43.tmp
08.08.2006 18:48 447 szc42.tmp
08.08.2006 15:06 798.234 IMT1D.xml
08.08.2006 15:06 426 IMT1C.xml
08.08.2006 15:06 2.036 IMT1B.xml
08.08.2006 15:04 447 wsp19.tmp
08.08.2006 14:58 447 qcq17.tmp
08.08.2006 14:51 447 dudE.tmp
08.08.2006 14:45 447 xxtD.tmp
08.08.2006 14:38 447 ljhC.tmp
08.08.2006 14:29 447 yeyB.tmp
08.08.2006 14:23 447 zoaA.tmp
08.08.2006 14:01 447 vlm3A.tmp
08.08.2006 13:55 447 ilv39.tmp
08.08.2006 13:48 447 rbz38.tmp
08.08.2006 13:42 447 mnq37.tmp
08.08.2006 13:35 447 gdr33.tmp
08.08.2006 13:29 447 zgz2E.tmp
08.08.2006 13:23 447 izw29.tmp
08.08.2006 13:16 447 jev27.tmp
08.08.2006 13:10 447 swt26.tmp
08.08.2006 13:04 447 srv25.tmp
08.08.2006 12:57 447 aas24.tmp
08.08.2006 12:51 447 zyg23.tmp
08.08.2006 12:45 447 uxq22.tmp
08.08.2006 12:38 447 lgcC.tmp
08.08.2006 01:58 447 wpc7E.tmp
08.08.2006 01:52 447 utr7D.tmp
08.08.2006 01:45 447 kgx78.tmp
08.08.2006 01:39 447 tlv6C.tmp
08.08.2006 01:32 447 lps67.tmp
08.08.2006 01:26 447 jot66.tmp
08.08.2006 01:20 447 ace65.tmp
08.08.2006 01:14 447 vhc64.tmp
08.08.2006 01:07 447 qlk63.tmp
08.08.2006 01:01 447 ayh62.tmp
08.08.2006 00:55 447 ffz60.tmp
08.08.2006 00:48 447 mcj5B.tmp
08.08.2006 00:42 447 cpi50.tmp
08.08.2006 00:36 447 ypb3D.tmp
08.08.2006 00:29 447 mlr33.tmp
08.08.2006 00:23 447 cfh2E.tmp
08.08.2006 00:17 447 szu2C.tmp
08.08.2006 00:10 447 wjo27.tmp
08.08.2006 00:04 447 fvv21.tmp
07.08.2006 23:58 447 ibq19.tmp
07.08.2006 23:52 447 uyp16.tmp
07.08.2006 23:46 447 etw14.tmp
07.08.2006 23:39 447 ujb11.tmp
07.08.2006 23:33 447 osyE.tmp
07.08.2006 19:58 447 pjwE.tmp
54 Datei(en) 824.267 Bytes
0 Verzeichnis(se), 7.024.414.720 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\WINDOWS

08.08.2006 20:40 1.923.344 WindowsUpdate.log
08.08.2006 20:29 0 0.log
08.08.2006 20:29 157 wiadebug.log
08.08.2006 20:29 50 wiaservc.log
08.08.2006 20:27 2.048 bootstat.dat
08.08.2006 20:27 32.634 SchedLgU.Txt
08.08.2006 14:51 155 winamp.ini
08.08.2006 12:18 234.438.656 MEMORY.DMP
07.08.2006 23:07 1.364.616 ntbtlog.txt
07.08.2006 17:39 923 spupdsvc.log
07.08.2006 17:37 685.886 iis6.log
07.08.2006 17:37 22.707 ocmsn.log
07.08.2006 17:37 1.355 imsins.log
07.08.2006 17:37 116.192 ntdtcsetup.log
07.08.2006 17:37 241.746 tsoc.log
07.08.2006 17:37 196.179 comsetup.log
07.08.2006 17:37 10.893 tabletoc.log
07.08.2006 17:37 26.714 KB917734.log
07.08.2006 17:37 59.647 wmsetup.log
07.08.2006 17:37 14.662 MedCtrOC.log
07.08.2006 17:37 36.363 netfxocm.log
07.08.2006 17:37 239.564 ocgen.log
07.08.2006 17:37 25.597 msgsocm.log
07.08.2006 17:37 502.459 FaxSetup.log
07.08.2006 17:37 169.624 msmqinst.log
07.08.2006 17:36 380.437 setupapi.log
07.08.2006 17:36 1.355 imsins.BAK
07.08.2006 17:36 39.888 KB911927.log
07.08.2006 17:36 19.462 updspapi.log
07.08.2006 17:36 39.390 KB901017.log
07.08.2006 17:36 39.718 KB896424.log
07.08.2006 17:36 38.939 KB911280.log
07.08.2006 17:36 38.398 KB911562.log
07.08.2006 17:36 38.951 KB900485.log
07.08.2006 17:36 37.774 KB917159.log
07.08.2006 17:35 24.429 KB910437.log
07.08.2006 17:35 23.757 KB911564.log
07.08.2006 17:35 37.094 KB918439.log
07.08.2006 17:35 40.392 KB902400.log
07.08.2006 17:35 32.213 KB899589.log
07.08.2006 17:34 31.650 KB914388.log
07.08.2006 17:34 30.441 KB917344.log
07.08.2006 17:34 30.322 KB905414.log
07.08.2006 17:34 37.417 KB917953.log
07.08.2006 17:34 32.264 KB900725.log
07.08.2006 17:34 28.015 KB912919.log
07.08.2006 17:34 27.635 KB916595.log
07.08.2006 17:34 27.205 KB904706.log
07.08.2006 17:33 27.770 KB908531.log
07.08.2006 17:33 27.388 KB905749.log
07.08.2006 17:33 30.707 KB916281.log
07.08.2006 17:33 24.444 KB913580.log
07.08.2006 17:33 23.235 KB911567.log
07.08.2006 17:33 22.785 KB908519.log
07.08.2006 17:32 27.716 KB914389.log
07.08.2006 14:07 2.116 desktop.html
07.08.2006 03:25 116 NeroDigital.ini
07.08.2006 03:12 151 PhotoSnapViewer.INI
07.08.2006 03:00 4.517 rdt.ini
07.08.2006 02:51 6.400 balloon.wav
07.08.2006 01:03 54.156 QTFont.qfn
30.07.2006 15:07 6.783 mozver.dat
11.07.2006 19:46 8.341 WGA.log
29.05.2006 16:34 94.045 setupact.log
28.05.2006 14:05 1.409 QTFont.for
22.05.2006 17:12 316.640 WMSysPr9.prx


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C15-B451

Verzeichnis von C:\

08.08.2006 20:42 0 sys.txt
08.08.2006 20:42 14.400 system.txt
08.08.2006 20:41 2.778 temp.txt
08.08.2006 20:41 2.778 systemtemp.txt
08.08.2006 20:41 99.887 system32.txt
08.08.2006 20:34 2.608 files.txt
08.08.2006 20:27 352.321.536 pagefile.sys
22.05.2006 21:29 80 FilterLog.log



bei fixwareout:


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}980AC6A318EC-394B-5984-82F9-AE96AD56{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nlcalik
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\lgqmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CD6D19155E54-6CBA-FC84-F49A-3342A040{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AA2D2766E617-2D79-CCA4-BD5D-98519C34{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C4837A72577A-CEEA-0334-DB8B-E7F8213A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}00C97A0F2664-8438-E2B4-60BA-27234B4F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DA7568D06168-67BB-E574-6493-5AD42D36{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}314BE3CB4AF9-B52A-D504-5EB8-3CA4B33E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6F22A8A571F2-12FA-FFC4-3495-9CB3B0D4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}890FBEF91636-6A9B-1564-8AA4-2BFAA295{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9B42B4F2674E-52B9-2644-ED45-7888021F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}47DC47AF6412-28CB-5414-4EAF-404E1CF9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2AA8622B3141-ED3A-8134-7463-F32BBDEB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DD82A6CD89CE-D3DB-5654-505B-05E85DA0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8D2BAA323F9F-3F9A-2414-3A04-D361B87D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A054CFEF51D0-AF7A-0E24-FCF7-6E3759A7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}084B90412CAF-807B-E674-F315-BE5027AB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7D5D79282BC6-F4D9-1B04-6FA1-3F6B2688{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E51423E849E-BF59-E924-EBF3-8B86B910{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CFF37E242AD6-6BEA-3E84-4F0C-6B905D7A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BDC2D12ABB5F-A84A-00E4-3783-9A86FFCD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9B881B0F690E-C019-84C4-7B88-1CBD7C7A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F804B91AF368-E18A-4574-407C-F0988251{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}919BAE4EE9DC-2F29-4B34-C744-283685A4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF2C915303F8-8458-42B4-BE98-94A773CF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E04756F9BB8F-9BF8-3A54-6341-3DFE7DFD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6EF18A1B5EB6-28E8-B204-2DA2-27E7E941{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}97DA5CE8BB84-CEC9-4024-D2C0-ABFF21FB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2FE8390F0352-A879-02F4-6EDF-45026BE7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}29E46E45CC79-FF09-3094-A0E4-A5180D6E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1D300092B403-0E9A-4654-5841-F4FF54E2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D945AAAB2CEF-E2D9-16B4-DA8E-4DF096DC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}863A83886B10-09AA-D5D4-3D3F-86D5EEBB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CFC236A1DE1-95E8-65A4-246A-E2B9EA39{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C90DA3D718FC-4FDA-E6C4-CB8A-582299D9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8925BAB43B77-B838-07C4-EFBC-2507A092{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A990CEAD9574-34FB-B3D4-B5DC-A602CA2E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CC66C21ACDC9-3058-2924-E3F7-E1E83554{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2A09E1D5DB9F-FC2A-14D4-004C-BD4B4EEE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}537199E7E510-BF98-2C84-F488-4CF7C067{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D951B2C850CC-99C9-1BB4-7E53-CEC28ECB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}822DE3C91DC8-DC1B-5604-CEAA-FEEA44D2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D09CEEF42D3-71E8-3D44-CBF2-B671C807{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B48D0FA26A79-6ADA-EED4-62CC-96EFD666{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7450350A97DF-D659-8654-F84A-B9770693{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6706C6B7ADB5-AEE9-7104-03D2-CD2CAAC7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6E1FF7DF9057-B1EB-C534-0B7D-5438E902{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3E8B148BE3FB-AAAA-ABA4-5E91-5EA45BD2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4C3669EA399A-3779-6324-625F-83CBDDA8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}92174F8D9888-5E59-9F84-8A7D-07834B1F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}563E1877518E-2FE9-D724-3DF2-4B558D43{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D359D755CDBD-42F9-9674-BB73-DB45087C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E090D1EA6A9B-7F08-F9F4-D98D-2DDA168B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0815D09F7488-7C99-D794-733B-48C31A21{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EEEC1F3A27F5-38D9-E384-DC08-6A5F1A5F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C55BB9BC1E58-25CB-E2C4-98FE-E6C5E7DE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8ADEB2119A51-258A-62D4-AE71-C8E5689B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}59CF70A2C4E9-A75A-2604-807D-6282F857{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AF992D68288E-982B-4B44-4F41-E2B61724{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}226BF991EA5D-41B9-DCC4-32CB-5B093C8B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E18C1725F69D-CDF9-B464-9363-C1EFF557{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}85BC550801B5-8D6A-EE14-5B03-FBFA6AC2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}079782F4021F-68A9-2974-FD6C-5F6B6037{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6434FAEB11D4-899A-3124-43E5-8B327B70{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AC0538830CB8-4BE9-DD94-E6E5-C7BB9D12{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B63E1A9ED81E-2719-5514-DAB6-DD04587C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BAEC235A1522-13DA-7CE4-17C6-10577953{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}30838EDD56BB-00EB-7F64-6F7C-3E70F804{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}57D44B96A486-B8AA-B734-4C6A-6302D7D3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D60FB94FD3CF-D6DA-3CD4-8E40-6477573B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EB019BBBBD78-4178-8B84-B8B5-CB349FDC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F290C0BFD9F4-5D7B-9034-04E7-6B730515{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2D9E6EB90E33-921B-47D4-5946-98C11428{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C0AC511DF560-7098-1BC4-D6DF-647BE19E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BA917F3F9921-3D79-0A64-6817-CCB2AD99{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C7934C2B78B1-5329-B184-AE80-8A04F42A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}08A6E469306A-753A-6534-A380-9F467156{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}38A13076F1D6-5619-CB34-E6B3-14C32D44{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D2405066B972-64EB-B4D4-84A7-AA6A6C56{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9E647516EEC5-AA8A-7B04-0516-155E7FD3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}87D50459A451-673A-B9E4-C820-D0830442{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3660E404B750-164A-CD14-FB12-631CA4A6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8EF8F6384859-CFDB-0874-254C-FF7301DC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}33B61B525FFD-86BA-06E4-C813-8FD6EE9A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FCEB0F5B4674-8CDA-0074-3FA9-5AD7511B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6C7257CA7180-1BC9-2334-CEBC-3018ADAD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5D2C8E6BD9D7-F95A-3114-6082-9B85DDED{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AA005E9FB8F9-07A8-BDD4-849D-17AA171D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}79A743B6B61A-0FF9-E8F4-D03B-F1ABF84B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6B4CE670439F-5EFB-4924-26FC-444A4A7C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}53CE27F30BF1-5F88-FFC4-C724-54FD72F3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C2E0CA57327C-E0FA-CFE4-6962-8FFAB7AD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}51271ADE2C14-BCBB-DFD4-82B6-7EFBE9C4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3D039BA5AE3B-F759-7B84-9F3B-A15B9141{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ED9FE546B1B6-98CB-48A4-F13A-23AC04C9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7E6FD4CEA8A0-7798-1D64-FD0C-67638B1C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D40B1FD962AF-36AB-6144-DF4E-47DE36CA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}81707B217BDF-D1EA-CCB4-2EA4-1DA6AB28{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}18A7376AD069-5929-7894-BFD1-D118F638{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}59D50A50CA1A-3A7B-E694-21BD-1F9CCC81{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A5CAC57ACF31-A2FB-1144-293C-C3FDE8F1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}72321C312C34-DFEB-13A4-8443-BAA67ABB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CB10363D4C61-10B9-AAF4-5107-78F7A482{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3DA0D09E3CEF-472B-8944-A80D-4AA8FC21{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\fogmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}337B60F25921-6DBA-FA14-7812-72AFFAE4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AE1E54C7ECBE-84D8-75D4-E3BA-E73F7FD5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1BBF2EC2F368-B9B9-89A4-AD57-D03E94FF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}70FCEDA216C1-8C68-F254-EB24-BD9111E2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}33CB28980867-FF58-4A94-5828-7CAB87DC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9DF9839F970C-43BB-9C04-C307-C4A9AD40{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4746E5B77624-B119-6D74-2208-ED1D0147{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3F6D96925942-DCCB-8584-5C64-423AA6F3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9216EE9E622B-F9F8-7EB4-6641-078F5F56{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}142EFAE27FE6-BDA9-A0E4-0E50-3D259480{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3FF876DEC168-29C9-4F54-1D62-40D2F9D4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7A9BFFD30E00-308B-5AE4-12C4-2DAF8F3F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2D19C2D18FD8-167A-E654-14F8-DE8FBFB6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B2B64222F13C-C97A-E444-A41D-216C3D97{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B6AB9DF642E1-0C49-1574-E398-4690169E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}187F0AE4F0FA-9A79-1BA4-7201-42809F80{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}50543D3DF9BD-E29A-AED4-7940-9555752F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6120018617BE-6A78-D044-C91F-EB5741B3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}058512F004BD-9FC9-C014-DCF3-CCC471F4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}14A9F56F8DAF-0B28-4074-FA03-220E5593{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...

Random Runs removed from HKLM
"dmqgl.exe"=-
"dmgof.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\CSEIFE~1.REN
C:\WINDOWS\SYSTEM32\DMGOFE~1.REN
C:\WINDOWS\SYSTEM32\FILESA~1.REN
C:\WINDOWS\SYSTEM32\KILACL~1.REN
C:\WINDOWS\SYSTEM32\{F4B43~1.REN

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects
Directory of C:\WINDOWS\system32
{62ABAC56-5055-451A-A953-5E566626238E}.exe
{9C50F97F-8D43-4753-8DAE-5E167BED3D6A}.exe
{F4B43272-AB06-4B2E-8348-4662F0A79C00}.exe.ren

#6 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\aek44.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\mgo43.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\szc42.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\IMT1D.xml
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\IMT1C.xml
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\IMT1B.xml
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\wsp19.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\qcq17.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\dudE.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\xxtD.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ljhC.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\yeyB.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\zoaA.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\vlm3A.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ilv39.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\rbz38.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\mnq37.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\gdr33.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\zgz2E.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\izw29.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\jev27.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\swt26.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\srv25.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\aas24.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\zyg23.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\uxq22.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\lgcC.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\wpc7E.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\utr7D.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\kgx78.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\tlv6C.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\lps67.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\jot66.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ace65.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\vhc64.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\qlk63.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ayh62.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ffz60.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\mcj5B.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\cpi50.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ypb3D.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\mlr33.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\cfh2E.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\szu2C.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\wjo27.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\fvv21.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ibq19.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\uyp16.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\etw14.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\ujb11.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\osyE.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Br�ll\pjwE.tmp
C:\WINDOWS\System32\IEHost.exe
C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten\wo.tmp
C:\Dokumente und Einstellungen\Br�ll\Anwendungsdaten\kc.tmp
C:\WINDOWS\system32\{62ABAC56-5055-451A-A953-5E566626238E}.exe
C:\WINDOWS\system32\{9C50F97F-8D43-4753-8DAE-5E167BED3D6A}.exe
C:\WINDOWS\system32\{F4B43272-AB06-4B2E-8348-4662F0A79C00}.exe.ren
C:\WINDOWS\system32\cseif.exe.ren
C:\WINDOWS\system32\kilacln.exe.ren
C:\WINDOWS\system32\filesafer23.exe.ren
C:\WINDOWS\system32\psuhj.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
2.
poste das log vom avenger, was erscheint

**
3.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {31D3BBF4-2309-877F-DD95-E1690F2E6A9C} - startman.dll (file missing)

O1 - Hosts: localhost 127.0.0.1

O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\System32\IEHost.exe

O4 - HKLM\..\Run: [sound64] cnftips.exe
O4 - HKLM\..\Run: [init32] lpt.exe
O4 - HKLM\..\Run: [psuhj.exe] C:\WINDOWS\system32\psuhj.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [scanSYS] cnftips.exe
O4 - HKCU\..\Run: [SAPSTR] KeywordFinder.exe
O4 - HKCU\..\Run: [backd] gabber.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{A0500BB3-E6FC-4A6E-A5A8-D2595107A996}: NameServer = 85.255.115.46,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAFA8188-ED5D-4E6B-B806-34BBAAEC1374}: NameServer = 85.255.115.46,85.255.112.230
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.230

**
Bei Netzwerk/Eigenschaften des Internetprotokolls IP und DNS automatisch beziehen. -> anhaken

**
4.
Gehe in die registry
Start - Ausfuehren - regedit
bearbeiten - suchen - (in das Suchfeld kopieren- {31D3BBF4-2309-877F-DD95-E1690F2E6A9C}

loesche alles, was du findest

5.
loesche das backup von avenger
(C:\Avenger\backup.zip)

**
6.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

7.
scanne solange , mit Neustart zwischen durch, bis nichts mehr gefunden wird:

F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

---------------------------------------------------------------------------
8.
du hast wahrscheinlich das hier installiert -> MaxSpeed Tool von consumersoftwarelabs
deinstalliere es !!!!!!!!!!!!!!!

9.
poste das neue Lofg vom HijacktHis
+
das log vom silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ok, f-secure findet nichts mehr.
und ich finde kein MaxSpeed Tool von consumersoftwarelabs...

hijack:

Logfile of HijackThis v1.99.0
Scan saved at 13:49:49, on 09.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
E:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intruder-pbhc.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [qhhga.exe] C:\WINDOWS\system32\qhhga.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 85.255.115.46 85.255.112.230
O17 - HKLM\System\CS2\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 85.255.115.46 85.255.112.230
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


silent runner:



"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ClockSync" = "C:\PROGRA~1\CLOCKS~1\Sync.exe /q" [file not found]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"updateMgr" = ""C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1" ["Adobe Systems Incorporated"]
"shell" = ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"LVCOMS" = "C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE" ["Logitech Inc."]
"iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"]
"qhhga.exe" = "C:\WINDOWS\system32\qhhga.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{8e9d6600-f84a-11ce-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Objects"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{52c68510-09a0-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Hood Verbs"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cseif.exe" [file not found]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Security"
"Source" = "C:\WINDOWS\desktop.html"
"SubscribedURL" = "C:\WINDOWS\desktop.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "D:\ERICC~13.SCR" [file not found]


Startup items in "Brüll" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.versatel.de/internet-cd/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

INFECTION WARNING! The running services cannot be counted.
Presence of a spyware service is suspected.
The script has been forced to exit.



----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 25 seconds, including 4 seconds for message boxes)

#8 Brüll

der Trojaner ist immer noch drauf und die Internetverbindung geht immer noch in die Ukraine:

1.
loesche:
C:\WINDOWS\desktop.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"shell"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qhhga.exe"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

3.
Fixe mit dem HijackTHis

Zitat

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 85.255.115.46 85.255.112.230
O17 - HKLM\System\CS2\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 85.255.115.46 85.255.112.230

PC neustarten

4.
scanne und poste den report von Option 1 und 2
http://virus-protect.org/artikel/tools/smitfrautfix.html

5.
noch einmal:

Download FixWareout
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt - poste den text.

6.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

7.
manuell mit den Zugangsdaten des Providers hergestellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn IP und DNS automatisch beziehen. -> anhaken
85.255.115.46 85.255.112.230 -> muss raus !!!!!!!!!!!!

8.
poste das neue Log vom HijackTHis

«
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hey sabina,
hoffe, ich hab nicht alles versaut. ich habe zwischendurch auch mal mit super anti spyware gescant und alles gelöscht, was gefunden wurde.


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects
Directory of C:\WINDOWS\system32



Logfile of HijackThis v1.99.0
Scan saved at 18:30:45, on 09.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
E:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intruder-pbhc.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [qhhga.exe] C:\WINDOWS\system32\qhhga.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#10 öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [qhhga.exe] C:\WINDOWS\system32\qhhga.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

PC neustarten

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
+
das neue log von hijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#11 tausendmal bedankt

panda:


Incident Status Location

Adware:adware/savenow Not disinfected c:\windows\system32\datastore.dll
Adware:adware/iedriver Not disinfected c:\windows\system32\sub.dll
Adware:adware/exact.bargainbuddy Not disinfected Windows Registry
Adware:adware/clocksync Not disinfected Windows Registry
Potentially unwanted tool:application/kill&clean Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}
Potentially unwanted tool:Application/Kill&Clean Not disinfected C:\avenger\backup.zip[avenger/kilacln.exe.ren][KillAndCleanUpdate.exe]
Adware:Adware/RazeSpyware Not disinfected C:\avenger\backup.zip[avenger/{9C50F97F-8D43-4753-8DAE-5E167BED3D6A}.exe]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.doubleclick.net/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Itrack Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[ilead.itrack.it/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Itrack Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[ilead.itrack.it/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.adtech.de/]
Spyware:Cookie/WUpd Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.revenue.net/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.adtech.de/]
Spyware:Cookie/WUpd Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.revenue.net/]
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.advertising.com/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.atdmt.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.2o7.net/]
Spyware:Cookie/PointRoll Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.ads.pointroll.com/]
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.adverserve.net/]
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.bs.serving-sys.com/]
Spyware:Cookie/BurstNet Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.burstnet.com/]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.com.com/]
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.perf.overture.com/]
Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.realmedia.com/]
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[.xiti.com/]
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Brüll\Anwendungsdaten\Mozilla\Firefox\Profiles\cw09jhft.Standard-Benutzer\cookies.txt[stats1.reliablestats.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Brüll\Cookies\brüll@doubleclick[1].txt






Logfile of HijackThis v1.99.0
Scan saved at 12:42:50, on 10.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intruder-pbhc.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 62.220.18.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 62.220.18.8
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe



dieser mist von crazywinnings will nicht weg...
mein desktophintergrund sieht mittlerweile aber schon anders aus.
aber immer noch nicht so, wie es sein sollte.
lieben gruß

#12 es sieht gut aus die internetverbindung ist wieder o.k.

1.
scanne (option 1 und 2) - poste die reporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Avenger:

Zitat

registry keys to delete:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}

Files to delete:

c:\windows\system32\datastore.dll
c:\windows\system32\sub.dll

**
poste das log vom avenger

**
loesche alle backups vom Avenger
C:\avenger\backup.zip

**
scanne mit a-squared Web Malware Scanner und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hey sabina,
kann ich eignetlich irgendwelche programme wieder löschen?
ich glaube, die vertragen sich nicht. als ich smitfraudfix installiert habe, ist antivir voll abgedreht.
der a-squared scanner will sich nicht installieren bzw. bricht immer ab.



SmitFraudFix v2.81

Scan done at 14:56:43,65, 10.08.2006
Run from E:\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\desktop.html Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End






//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\degsjxhl

*******************

Script file located at: \??\C:\rryhuldt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\datastore.dll deleted successfully.
File c:\windows\system32\sub.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




Logfile of HijackThis v1.99.0
Scan saved at 15:39:15, on 10.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intruder-pbhc.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 62.220.18.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 62.220.18.8
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe



aber der hintergrung, der am blinken war, ist weg!
trotzdem findet irgendein programm immer irgendwas...
vielen dank nochmal
denke, dass ich aus dem gröbsten raus bin.
aber welche programme behalte ich und wie gehts weiter bzw. bekomme ich alles weg? was hälst du von super anti spyware?

#14 Brüll

0.
DelDomains.inf ERSTELLEN
http://virus-protect.org/trusted_zone.html

1.
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - {BF69DF00-2734-477F-8257-27CD04F88779}


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779} -> loeschen

PC neustarten

**

2.
Lade Windowsdefender - ist free und aktiviere den Guard
http://virus-protect.org/ms.html

3.
loesche das backup vom Avenger,

4.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

5.
nicht mehr auf Kill&Clean reinfallen

6.
dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#15 ja super, besten dank.
komisch ist nur, das sich der pc nach dem start immer ins internet einwählen will...

Logfile of HijackThis v1.99.0
Scan saved at 20:59:12, on 10.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intruder-pbhc.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 62.220.18.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{5C9ED985-BF5E-4A85-99E7-A23F2F6A16AE}: NameServer = 62.220.18.8
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe