IEXPLORE.EXE und ???.tmp.exe öffnen sich immer wieder

#1 Tach,

hab folgendes Problem seit Wochen und bekomms einfach ned weg (ad-watch, ewido, spybot,...)

es startet sich immer eine iexplore.exe obwohl der iexplorer nicht offen is(eigentlich nie weil ich opera benutze) und staendig werden in C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp Dateien wie ~DFE568.tmp erstellt.

Man kann sie nicht löschen da sie gerade von einigen prozessen benutzt werden, auch nicht mit killbox.

hin und wieder blitzt auch noch so ein italienisches dialerfenster auf mit ok und cancel nur auf italienisch, leider nur für einen augenblick einer sekunde.

bitte um hilfe

MfG

Wolfi

#2 arbeite das bitte ab und poste hier alle Logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 HJT-Log:


Logfile of HijackThis v1.99.1
Scan saved at 14:22:58, on 10.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\NETGEAR\WG121 Configuration Utility\wlancfg8.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Programme\Opera\Opera.exe
C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe
C:\Dokumente und Einstellungen\Wolfgang\Desktop\HJT\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2765B6C-7FE0-42B1-9406-9C9CFE809252}: NameServer = 195.58.160.194,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3D065E4-872A-46C7-86B9-A131CE9AC94A}: NameServer = 195.58.160.194,195.58.161.122
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



------------------------------------------------------

Combofix-Log:


Start Time= 10.08.2006 14:35:34,62
Running from: C:\Programme\Opera

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-10 14:27:28 ( .D... ) "C:\Programme\CleanUp!"
2006-08-08 15:41:30 19968 ( A.... ) "C:\WINDOWS\system32\ixt1.dll"
2006-08-08 15:36:46 19968 ( A.... ) "C:\WINDOWS\system32\ixt0.dll"
2006-08-08 15:36:44 176128 ( A.... ) "C:\WINDOWS\system32\urroxtl.dll"
2006-08-08 15:36:44 31232 ( A.... ) "C:\WINDOWS\system32\issearch.exe"
2006-08-08 15:36:14 4608 ( A.... ) "C:\WINDOWS\system32\ismon.exe"
2006-08-08 15:35:00 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-08-08 14:40:00 14848 ( A.... ) "C:\WINDOWS\system32\cool.exe"
2006-08-08 14:39:56 31760 ( A.... ) "C:\WINDOWS\system32\ishost.exe"
2006-07-17 21:26:40 ( .D... ) "C:\Programme\DVD Decrypter"
2006-07-17 21:24:48 ( .D... ) "C:\Programme\AviSynth 2.5"
2006-07-17 21:24:44 ( .D... ) "C:\Programme\VideoraiPodConverter"
2006-07-17 21:24:32 573492 ( ..... ) "C:\WINDOWS\system32\jkklk.dll"
2006-07-17 20:40:46 18432 ( A.... ) "C:\WINDOWS\system32\winwly32.dll"
2006-07-17 19:54:02 ( .D... ) "C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\dvdcss"
2006-07-17 19:53:20 ( .D... ) "C:\Programme\WinXMedia"
2006-07-17 14:50:28 139264 ( A.... ) "C:\WINDOWS\War3Unin.exe"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-06-29 13:40:24 ( .D... ) "C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Azureus"
2006-06-29 13:37:58 ( .D... ) "C:\Programme\Azureus"
2006-06-28 22:16:44 ( .D... ) "C:\Programme\PokerStars"
2006-06-24 17:14:32 ( .D... ) "C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Apple Computer"
2006-06-21 17:33:32 98304 ( A.... ) "C:\WINDOWS\system32\CmdLineExt.dll"
2006-06-18 12:38:02 ( .D... ) "C:\Programme\Microsoft Application Compatibility Toolkit"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2003-08-14 19:13:12 40960 ( A.... ) "C:\Programme\Uninstall_PCM.exe"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-08 15:41 19.968 C:\WINDOWS\system32\ixt1.dll
2006-08-08 15:36 31.232 C:\WINDOWS\system32\issearch.exe
2006-08-08 15:36 19.968 C:\WINDOWS\system32\ixt0.dll
2006-08-08 15:36 176.128 C:\WINDOWS\system32\urroxtl.dll
2006-08-08 14:39 4.608 C:\WINDOWS\system32\ismon.exe
2006-08-08 14:39 31.760 C:\WINDOWS\system32\ishost.exe
2006-08-08 14:39 14.848 C:\WINDOWS\system32\cool.exe
2006-07-17 21:24 573.492 C:\WINDOWS\system32\jkklk.dll
2006-07-17 20:40 18.432 C:\WINDOWS\system32\winwly32.dll
2006-07-17 14:32 139.264 C:\WINDOWS\War3Unin.exe
2006-06-29 17:16 45.056 C:\WINDOWS\system32\WNASPI32.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"TkBellExe"="C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\evntsvc.exe -osboot"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"AWMON"="\"C:\\Programme\\Lavasoft\\Ad-Aware SE Professional\\Ad-Watch.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,d0,01,00,00,00,00,00,00,30,03,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,78,00,00,00,00,00,00,00,c4,03,00,00,e2,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,78,00,00,00,00,00,00,00,c4,03,00,00,e2,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="rundll32"
"hkey"="HKLM"
"command"="rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Dit"
"hkey"="HKLM"
"command"="Dit.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAF-Recovery]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsgPlus"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsgPlus"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCMService"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Medion Home Cinema XL II\\PowerCinema\\PCMService.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRISMSTA.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PRISMSTA"
"hkey"="HKLM"
"command"="PRISMSTA.EXE START"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"


Contents of the 'Scheduled Tasks' folder

Completion time: 10.08.2006 14:35:58,28
ComboFix ver 06.07.15/29 - This logfile is located at C:\ComboFix.txt



-----------------------------------------------------

sys.txt :


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C092-2A02

Verzeichnis von C:\

10.08.2006 14:39 0 sys.txt
10.08.2006 14:38 10.045 system.txt
10.08.2006 14:38 481 systemtemp.txt
10.08.2006 14:38 93.284 system32.txt
10.08.2006 14:35 11.288 ComboFix.txt
10.08.2006 14:16 805.306.368 pagefile.sys
12.05.2006 20:29 0 DBS.TXT
01.04.2006 19:35 304 boot.ini
18.11.2005 12:21 856 flashplayer.xpt
07.10.2005 19:08 250 config.byk
04.09.2005 17:34 47.564 NTDETECT.COM
04.09.2005 17:34 251.184 ntldr
04.09.2005 15:46 0 MSDOS.SYS
04.09.2005 15:46 0 IO.SYS
04.09.2005 15:46 0 CONFIG.SYS
04.09.2005 15:46 0 AUTOEXEC.BAT
25.03.2005 17:58 5.510 data
02.04.2003 14:00 4.952 bootfont.bin
18 Datei(en) 805.732.086 Bytes
0 Verzeichnis(se), 30.357.225.472 Bytes frei

-------------------------------------------------

system.txt :


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C092-2A02

Verzeichnis von C:\WINDOWS

10.08.2006 14:36 508 win.ini
10.08.2006 14:36 202.103 setupact.log
10.08.2006 14:23 2.065.910 WindowsUpdate.log
10.08.2006 14:17 0 0.log
10.08.2006 14:17 159 wiadebug.log
10.08.2006 14:16 50 wiaservc.log
10.08.2006 14:16 2.048 bootstat.dat
08.08.2006 20:34 32.626 SchedLgU.Txt
08.08.2006 20:34 71.529 iis6.log
08.08.2006 20:34 165.019 comsetup.log
08.08.2006 20:34 1.355 imsins.log
08.08.2006 20:34 182.144 tsoc.log
08.08.2006 20:34 99.323 ntdtcsetup.log
08.08.2006 20:34 25.192 ocmsn.log
08.08.2006 20:34 11.089 KB921883.log
08.08.2006 20:34 23.669 msgsocm.log
08.08.2006 20:34 238.137 ocgen.log
08.08.2006 20:34 461.578 FaxSetup.log
08.08.2006 20:34 625.875 setupapi.log
08.08.2006 20:34 28.597 updspapi.log
08.08.2006 20:23 155 winamp.ini
08.08.2006 16:28 7.832 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
08.08.2006 16:24 41.970 wmsetup.log
08.08.2006 16:19 54.156 QTFont.qfn
14.12.2005 17:27 0 uniq

---------------------------------


system32.txt :

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C092-2A02

Verzeichnis von C:\DOKUME~1\Wolfgang\LOKALE~1\Temp

10.08.2006 14:36 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}7854.html
10.08.2006 14:36 16.384 ~DF5F27.tmp
10.08.2006 14:36 512 ~DF40F1.tmp
10.08.2006 14:36 16.384 ~DF40B1.tmp
4 Datei(en) 34.263 Bytes
0 Verzeichnis(se), 30.357.254.144 Bytes frei


Hoffe du kannst damit was anfangen.

tia

MfG

wolfi

#4 wolfi134

bevor ich die Reinigung vervollstaendige, brauche ich noch das 1. Log von datfindbat -> C:\Windows\System32

Zitat

1.
bearbeiten - suchen - incestuously

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}

2.

3.


C:\WINDOWS\uniq
2006-08-08 15:41:30 19968 ( A.... ) "C:\WINDOWS\system32\ixt1.dll"
2006-08-08 15:36:46 19968 ( A.... ) "C:\WINDOWS\system32\ixt0.dll"
2006-08-08 15:36:44 176128 ( A.... ) "C:\WINDOWS\system32\urroxtl.dll"
2006-08-08 15:36:44 31232 ( A.... ) "C:\WINDOWS\system32\issearch.exe"
2006-08-08 15:36:14 4608 ( A.... ) "C:\WINDOWS\system32\ismon.exe"
2006-08-08 14:40:00 14848 ( A.... ) "C:\WINDOWS\system32\cool.exe"
2006-08-08 14:39:56 31760 ( A.... ) "C:\WINDOWS\system32\ishost.exe"
2006-07-17 21:24:32 573492 ( ..... ) "C:\WINDOWS\system32\jkklk.dll"
2006-07-17 20:40:46 18432 ( A.... ) "C:\WINDOWS\system32\winwly32.dll

__________
MfG Sabina

rund um die PC-Sicherheit

#5 bitteschön:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C092-2A02

Verzeichnis von C:\WINDOWS\system32

10.08.2006 15:17 907.371 klkkj.ini2
10.08.2006 14:32 907.212 klkkj.bak2
10.08.2006 14:16 2.206 wpa.dbl
08.08.2006 15:41 19.968 ixt1.dll
08.08.2006 15:36 19.968 ixt0.dll
08.08.2006 15:36 176.128 urroxtl.dll
08.08.2006 15:36 4.286 ot.ico
08.08.2006 15:36 31.232 issearch.exe
08.08.2006 15:36 4.608 ismon.exe
08.08.2006 14:40 79 url.dat
08.08.2006 14:39 14.848 cool.exe
08.08.2006 14:39 31.760 ishost.exe
18.07.2006 17:58 804.863 klkkj.tmp
18.07.2006 17:58 806.391 klkkj.ini
17.07.2006 21:24 573.492 jkklk.dll
17.07.2006 20:40 18.432 winwly32.dll
17.07.2006 10:47 380.960 perfh009.dat
17.07.2006 10:47 53.374 perfc009.dat
17.07.2006 10:47 391.610 perfh007.dat
17.07.2006 10:47 64.190 perfc007.dat
17.07.2006 10:47 900.682 PerfStringBackup.INI
14.07.2006 17:38 332.288 netapi32.dll
07.07.2006 03:21 6.757.792 MRT.exe
21.06.2006 17:33 98.304 CmdLineExt.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll

#6 1.
Gehe in die registry

bearbeiten - suchen - incestuously

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}-> loeschen

______________________________________________________________________________________

2.
wende smitfraudfix an (Option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

3.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

4.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

5.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwly32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03413bf7-e34c-445b-bfc0-a2b127255871}

Files to delete:

C:\WINDOWS\system32\klkkj.ini2
C:\WINDOWS\system32\klkkj.bak2
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\urroxtl.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\url.dat
C:\WINDOWS\system32\cool.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\klkkj.tmp
C:\WINDOWS\system32\klkkj.ini
C:\WINDOWS\system32\jkklk.dll
C:\WINDOWS\system32\winwly32.dll
C:\WINDOWS\uniq

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was nach Neustart erscheint

**
loesche das backup vom Avenger findest du unter c:\Avenger\

**
scanne mit ewido und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit