Killandclean & merkwürdige Toolbar hat sich unbemerkt installiert

#1 Hallo,

vorgestern meldete sich ein Bekannter per Mail bei mir, der ein Problem mit seinem PC hat. Ohne sein Wissen hatte sich eine Toolbar (Yahoo) und ein angebliches Spyware-Erkennungsprogramm (killandclean) installiert.

Über das Killandclean habe ich mich soweit schlau gemacht. Es hat sich wahrscheinlich über ein Exploit (Windows nicht aktuell gepacht) installiert und läuft nun öfter ungefragt durch und meldet Spywarefunde, für dessen Entfernung man das Programm kaufen soll. Die gefundenen Registryeinträge hat es aber selbst vorher erstellt. Außerdem enthält es wohl als Zugabe noch einen Trojaner und ist selbst Spyware.

Da in vielen Threads, in denen von "killandclean" die Rede war, auch oft diese ominöse Toolbar auftauchte, gehe ich davon aus, dass die ebenfalls "bösartig" ist.

Nun wohne ich aber knapp 100 km weit weg, sonst würde ich ein Hijackthislog seines PCs hier einstellen und mich am besten hier beraten lassen, wie der PC wieder sauber zu bekommen ist. Wie kann ich ihm denn nun am besten helfen? Würden Programme wie Adaware oder Spybot Search&destroy die komplette Spyware vernichten oder sind da mehr Tools und Schritte notwendig oder kann man das so pauschal nicht sagen? Wenn ich nur einen Nachmittag bei ihm wäre, würde es wahrscheinlich nicht schnell genug gehen immer über das Forum die Schritte zur Bereinigung seines PCs abzusprechen.

Eine weitere sich anschließende Frage, die mich auch selbst interessiert ist, welche Vorkehrungen man treffen muß, um solche Infektionen möglichst zu verhindern. Sicherlich muß gerade Windows immer auf dem neuesten Stand sein (Sicherheitsupdates). Auch bei Java ist das wichtig. Außerdem sollte man möglichst nicht den Internet Explorer verwenden. Dann sollte natürlich ein aktueller Virenscanner (er verwendet Norton Antivirus) und eine Spywareerkennungssoftware installiert sein.

Aber welche und wieviele sind notwendig? Immer wieder genannt werden Spybot und Adaware. Zusätzlich habe ich heute folgende Empfehlungen gelesen:

- SpywareBlaster
- SpywareGuard
- Ewido Anti-Spyware

Dann noch andere Tools

- Cleanup!
- Killbox
- Winpatrol

Ich bin etwas verunsichert auf Grund der Fülle von den empfohlenen Tools. Welche habt ihr denn installiert und welche überschneiden sich so sehr in ihren Funktionen, dass Parallelinstallationen vermieden werden sollten?

Ich hoffe Ihr könnt mir helfen, danke

PS: Habe das schon im Trojanerboard gepostet, aber das scheint nicht sehr belebt zu sein?

#2 aqua57

Information: killandclean
http://virus-protect.org/artikel/spyware/killandclean.html
http://virus-protect.org/artikel/spyware/killandclean_remove.html

-----------------------------------------------------------------------

ich brauche folgende Logs

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

------

fixwareout - poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

------

poste den report
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

-----

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

-----

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 OK, habe alles verstanden und mal bei meinem PC testweise laufen lassen.

Ich melde mich dann am besten mit den Logs, wenn ich an seinem Rechner bin. Wann würde es dir denn passen, dass du hier antworten könntest Sabina? Mir wäre es ja das liebste, das Vorgehen hier genau abzustimmen, weil ihr ja echt Ahnung habt und nach der Auswertung der Logs die Schritte zur Bereinigung seines Systems ja erst noch folgen.

#4 poste einfach die logs alle hier ein, ich werde dann per mail beanchrichtigt, wenn ich online bin..und gebe allen weiteren Anweisungen
__________
MfG Sabina

rund um die PC-Sicherheit

#5 1. Hijackthislog:

Logfile of HijackThis v1.99.1
Scan saved at 21:38:30, on 17.08.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PCFWIN.EXE
C:\MLT1100L\wswpd.exe
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\MULTIMEDIA CARD READER\SHWICON98.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\COREL\OFFICE7\SHARED\PFIT7\PFPPOP70.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R3 - URLSearchHook: (no name) - {D802B30E-4835-8123-4BFC-443F5E4390AC} - ERTYDF.dll (file missing)
F1 - win.ini: load=C:\PCFMIN.EXE C:\WINDOWS\PCFMIN.EXE
F1 - win.ini: run=C:\MLT1100L\WSWPD.EXE
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\{3CABD003-088F-11DB-822B-00E04CEB6DEB}.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\{3CABD003-088F-11DB-822B-00E04CEB6DEB}.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickFinder Scheduler] C:\COREL\OFFICE7\SHARED\QFINDER7\QFSCHED.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Minolta PageWorks/Pro 1100L] C:\MLT1100L\WSWPD.EXE
O4 - HKLM\..\Run: [Sunkist] C:\Programme\Multimedia Card Reader\shwicon98.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [sysmon12] NsCplTray.exe
O4 - HKLM\..\Run: [stuffmon] ERTYDF.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [WinVNC4] "C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE" -noconsole -service
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [AppMasterCenter] Brong32.exe
O4 - HKCU\..\Run: [ABCXYZ] ERTYDF.exe
O4 - HKCU\..\Run: [qwe] TemplateDongle.exe
O4 - Startup: PerfectPrint.LNK = C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.116.139,85.255.112.7

2. Fixwareout:


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qdpmd


Random Runs removed from HKLM
"dmpdq.exe"=-
"csolh.exe"=-
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be legitimate FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM\CSOLH.EXE 51.273 2006-06-30
C:\WINDOWS\SYSTEM\CSARV.EXE 51.273 2006-06-30
C:\WINDOWS\SYSTEM\DMPDQ.EXE 44.053 1998-05-15


3. Blacklight meldet Fehler: userenv.dll wurde nicht gefunden.

4. Cleanup! wurde durchgeführt und hat 270MB gelöscht.

5. datFind:


Datentr„ger in Laufwerk C: WIN98
Seriennummer des Datentr„gers: 3F9A-A11D
Verzeichnis von C:\WINDOWS\SYSTEM32

MFC71 DLL 1.060.864 04.07.05 9:51 mfc71.dll
MSVCR71 DLL 348.160 04.07.05 9:51 msvcr71.dll
FOLDER HTT 12.906 25.10.03 16:38 folder.htt
DESKTOP INI 266 25.10.03 16:38 desktop.ini
4 Datei(en) 1.422.196 Bytes
0 Verzeichnis(se) 2.630.952.960 Bytes frei


Datentr„ger in Laufwerk C: WIN98
Seriennummer des Datentr„gers: 3F9A-A11D
Verzeichnis von C:\WINDOWS\TEMP

WP}00001 TMP 0 17.08.06 22:28 WP}00001.TMP
1 Datei(en) 0 Bytes
0 Verzeichnis(se) 2.630.963.200 Bytes frei



Datentr„ger in Laufwerk C: WIN98
Seriennummer des Datentr„gers: 3F9A-A11D
Verzeichnis von C:\WINDOWS

USER DAT 520.224 17.08.06 22:34 USER.DAT
SYSTEM DAT 5.386.272 17.08.06 22:33 SYSTEM.DAT
WIN386 SWP 100.663.296 17.08.06 22:33 WIN386.SWP
SCHEDLOG TXT 32.702 17.08.06 22:28 SchedLog.Txt
SYSTEM INI 1.954 17.08.06 22:28 SYSTEM.INI
WAVEMIX INI 54 17.08.06 22:28 WAVEMIX.INI
POWERPNT INI 60 17.08.06 22:28 POWERPNT.INI
NDISLOG TXT 0 17.08.06 22:28 NDISLOG.TXT
WININIT BAK 44 17.08.06 22:22 WININIT.BAK
HOSTS SAM 21 17.08.06 22:08 hosts.sam
HOSTS 44 17.08.06 22:08 hosts
LUINST~1 LOG 504 17.08.06 22:04 LUINSTALL.LOG
LURESULT TXT 100 17.08.06 22:04 LuResult.txt
COMMAND PIF 967 17.08.06 21:06 command.PIF
PFPJOBPR {PB 40.878 16.08.06 23:26 PFPJOBPR.{PB
PFPJOBCM {PB 8.198 16.08.06 23:23 PFPJOBCM.{PB
SUMO INI 1.385 16.08.06 23:21 sumo.ini
WT61DE UWL 17.804 11.08.06 23:19 WT61DE.UWL
TTFCACHE 11.118 11.08.06 0:15 ttfCache
SHELLI~1 1.278.387 08.08.06 0:00 ShellIconCache
WMPLIB~1 DB 225.280 06.08.06 22:54 wmplibrary_v_0_12.db
WIN INI 7.982 06.08.06 22:54 WIN.INI
WMSYSPRX PRX 288.880 06.08.06 22:54 WMSysPrx.prx
TM INI 3.354 12.05.06 9:48 tm.ini
TDF DII 120 12.05.06 9:46 tdf.dii
WT61US UWL 546 29.03.06 23:27 WT61US.UWL
HOSTS NEW 0 27.02.06 0:28 hosts.new
CONTROL INI 1.017 23.02.06 22:33 CONTROL.INI
SETUP LOG 303 23.02.06 22:17 SETUP.LOG
WIN SGS 7.925 23.02.06 22:15 WIN.SGS
MSINFO32 INI 0 28.01.06 14:38 MSINFO32.INI
EVYPATHS BIN 10 01.10.05 22:06 evypaths.bin
ODBC INI 1.198 19.06.05 22:47 ODBC.INI
ODBCINST INI 3.111 19.06.05 22:47 ODBCINST.INI
ACTIVE~1 TXT 10.387 19.06.05 22:43 Active Setup Log.txt
WPLOG TXT 0 19.06.05 22:43 wplog.txt
ACTIVE~1 BAK 6.193 19.06.05 22:37 Active Setup Log.BAK
TMPDELIS BAT 122 05.05.05 23:43 tmpdelis.bat
XOBGLU16 DLL 63.488 05.05.05 23:40 xobglu16.dll
XOBGLU32 DLL 23.552 05.05.05 23:40 xobglu32.dll
EVY 10.196 03.05.05 16:44 EVY
MDACSET LOG 61.628 02.05.05 23:30 MDACSET.log
STI_TR~1 LOG 0 23.03.05 16:39 Sti_Trace.log
SYMEVENT LOG 3.083 02.03.05 0:23 SYMEVENT.LOG
WSNCP INI 51 27.02.05 23:04 WSNCP.INI
P2KROT~1 INI 0 31.01.05 15:31 P2kRotate.ini
MISSING INI 231 27.01.05 22:44 Missing.ini
CMOUSECC INI 468 20.07.04 23:35 Cmousecc.ini
DOSSTART BAT 41 20.07.04 23:35 dosstart.bat
QUICKTSK SDM 15.534 20.05.04 19:11 quicktsk.sdm
SND531~1 TXT 59.620 13.05.04 22:50 SND531unin.txt
SYSTEM CB 116 31.03.04 17:18 SYSTEM.CB
QPW INI 454 25.10.03 21:35 qpw.ini
NORTON~1 LOG 441 25.10.03 21:33 Norton Rescue.LOG
MSSHLIB2 LOG 92 25.10.03 21:33 msshlib2.log
BRNDLOG TXT 10.317 25.10.03 20:42 brndlog.txt
OEWABLOG TXT 822 25.10.03 20:42 OEWABLog.txt
BRNDLOG BAK 141 25.10.03 20:42 brndlog.bak
RUNONC~1 TXT 23.623 25.10.03 20:42 RunOnceEx Log.txt
MSIMGSIZ DAT 16.384 25.10.03 20:40 MSIMGSIZ.DAT
REGTLIB EXE 40.960 25.10.03 20:37 REGTLIB.EXE
WSCRIPT EXE 118.834 25.10.03 20:37 WSCRIPT.EXE
HH EXE 10.752 25.10.03 20:36 hh.exe
IESETU~1 TXT 114.829 25.10.03 20:36 IE Setup Log.Txt
SETUP OLD 62 25.10.03 20:21 setup.old
PROTOCOL INI 139 25.10.03 19:48 protocol.ini
DIRECTX LOG 93.895 25.10.03 19:11 DirectX.log
WININIT SAV 5.786 25.10.03 19:09 WININIT.SAV
WINFILE INI 0 25.10.03 18:36 winfile.ini
WINHELP INI 2.521 25.10.03 18:10 winhelp.ini
WT61SD UWL 546 25.10.03 18:10 WT61SD.UWL
MAPIUID INI 105 25.10.03 18:10 mapiuid.ini
HANSMENG PWL 706 25.10.03 18:10 HANSMENG.PWL
TELEPHON INI 225 25.10.03 16:38 TELEPHON.INI
DEFAULT SFC 69.906 25.10.03 16:38 Default.sfc
HWINFO DAT 127.008 25.10.03 16:38 HWINFO.DAT
FOLDER HTT 12.906 25.10.03 16:38 folder.htt
DESKTOP INI 266 25.10.03 16:38 desktop.ini
PROGMAN INI 0 25.10.03 16:37 progman.ini
QTW INI 28 25.10.03 16:24 QTW.INI
MSOFFICE INI 26 25.10.03 16:24 MSOFFICE.INI
SETVER EXE 19.131 25.10.03 16:24 SETVER.EXE
HIDCI DLL 3.216 25.10.03 16:23 HIDCI.DLL
PIDGEN DLL 27.584 25.10.03 16:21 PIDGEN.DLL
WINSOCK DLL 21.504 25.10.03 16:21 WINSOCK.DLL
EXTRAC32 EXE 132.608 29.08.02 0:00 EXTRAC32.EXE
GRPCONV EXE 38.160 29.08.02 0:00 GRPCONV.EXE
MSP501W INI 386 17.01.00 15:37 msp501w.ini
UNVISE~1 EXE 86.016 05.01.00 0:20 unvise32qt.exe
MSDFMAP INI 1.405 12.01.99 19:53 MSDFMAP.INI
ISUN0407 EXE 328.704 17.11.98 14:44 IsUn0407.exe
ISUNINST EXE 306.688 29.10.98 15:45 IsUninst.exe
DEFAULT SF0 69.892 19.05.98 9:46 Default.sf0
SMARTDRV EXE 45.379 15.05.98 20:01 SMARTDRV.EXE
HWINFO EXE 114.688 15.05.98 20:01 HWINFO.EXE
NETDET INI 7.885 15.05.98 20:01 NETDET.INI
HIMEM SYS 33.447 15.05.98 20:01 HIMEM.SYS
RAMDRIVE SYS 12.823 15.05.98 20:01 RAMDRIVE.SYS
PROTOCOL 822 15.05.98 20:01 PROTOCOL
LICENSE TXT 26.506 15.05.98 20:01 LICENSE.TXT
SUPPORT TXT 933 15.05.98 20:01 SUPPORT.TXT
LOGOS SYS 129.078 15.05.98 20:01 LOGOS.SYS
LOGOW SYS 129.080 15.05.98 20:01 LOGOW.SYS
1STBOOT BMP 1.518 15.05.98 20:01 1STBOOT.BMP
KREISE BMP 190 15.05.98 20:01 Kreise.bmp
WELLEN BMP 190 15.05.98 20:01 Wellen.bmp
STREIFEN BMP 578 15.05.98 20:01 Streifen.bmp
KACHELN BMP 578 15.05.98 20:01 Kacheln.bmp
SETUP BMP 308.280 15.05.98 20:01 Setup.bmp
RUNHELP CAB 6.325 15.05.98 20:01 RUNHELP.CAB
WIN COM 25.399 15.05.98 20:01 WIN.COM
JAUTOEXP DAT 6.550 15.05.98 20:01 JAUTOEXP.DAT
MORICONS DLL 84.416 15.05.98 20:01 MORICONS.DLL
NDDEAPI DLL 14.327 15.05.98 20:01 NDDEAPI.DLL
NDDENB DLL 10.976 15.05.98 20:01 NDDENB.DLL
SCRIPT DOC 28.160 15.05.98 20:01 SCRIPT.DOC
ASD EXE 61.440 15.05.98 20:01 ASD.EXE
CLEANMGR EXE 131.072 15.05.98 20:01 CLEANMGR.EXE
CLSPACK EXE 53.248 15.05.98 20:01 CLSPACK.EXE
CONTROL EXE 2.151 15.05.98 20:01 CONTROL.EXE
CVTAPLOG EXE 77.824 15.05.98 20:01 CVTAPLOG.EXE
DEFRAG EXE 253.991 15.05.98 20:01 DEFRAG.EXE
DOSREP EXE 89.147 15.05.98 20:01 DOSREP.EXE
DRWATSON EXE 143.360 15.05.98 20:01 DRWATSON.EXE
EMM386 EXE 126.695 15.05.98 20:01 EMM386.EXE
EXPLORER EXE 180.224 15.05.98 20:01 EXPLORER.EXE
FONTVIEW EXE 49.152 15.05.98 20:01 FONTVIEW.EXE
JVIEW EXE 188.416 15.05.98 20:01 JVIEW.EXE
MM2ENT EXE 32.768 15.05.98 20:01 MM2ENT.EXE
MSNICON EXE 57.344 15.05.98 20:01 MSNICON.EXE
NETDDE EXE 56.880 15.05.98 20:01 NETDDE.EXE
NOTEPAD EXE 57.344 15.05.98 20:01 NOTEPAD.EXE
PACKAGER EXE 81.920 15.05.98 20:01 PACKAGER.EXE
PIDSET EXE 40.960 15.05.98 20:01 PIDSET.EXE
PROGMAN EXE 114.039 15.05.98 20:01 PROGMAN.EXE
REGEDIT EXE 122.880 15.05.98 20:01 REGEDIT.EXE
RUNDLL EXE 5.191 15.05.98 20:01 RUNDLL.EXE
RUNDLL32 EXE 24.576 15.05.98 20:01 RUNDLL32.EXE
SCANDSKW EXE 5.051 15.05.98 20:01 SCANDSKW.EXE
SCANREGW EXE 90.112 15.05.98 20:01 SCANREGW.EXE
SETDEBUG EXE 53.248 15.05.98 20:01 SETDEBUG.EXE
SIGVERIF EXE 131.072 15.05.98 20:01 SIGVERIF.EXE
TASKMAN EXE 49.152 15.05.98 20:01 TASKMAN.EXE
TASKMON EXE 28.672 15.05.98 20:01 TASKMON.EXE
TUNEUP EXE 110.592 15.05.98 20:01 TUNEUP.EXE
UPWIZUN EXE 57.344 15.05.98 20:01 UPWIZUN.EXE
VCMUI EXE 45.056 15.05.98 20:01 VCMUI.EXE
WELCOME EXE 282.624 15.05.98 20:01 WELCOME.EXE
WINFILE EXE 158.039 15.05.98 20:01 WINFILE.EXE
WINHELP EXE 2.519 15.05.98 20:01 WINHELP.EXE
WINHLP32 EXE 323.584 15.05.98 20:01 WINHLP32.EXE
WININIT EXE 42.181 15.05.98 20:01 WININIT.EXE
WINREP EXE 442.368 15.05.98 20:01 WINREP.EXE
WINVER EXE 3.751 15.05.98 20:01 WINVER.EXE
WUPDMGR EXE 65.536 15.05.98 20:01 WUPDMGR.EXE
BACKGRND GIF 103.582 15.05.98 20:01 BACKGRND.GIF
CLOUD GIF 11.306 15.05.98 20:01 CLOUD.GIF
CONTENT GIF 262 15.05.98 20:01 CONTENT.GIF
HLPBELL GIF 1.407 15.05.98 20:01 HLPBELL.GIF
HLPCD GIF 1.492 15.05.98 20:01 HLPCD.GIF
HLPGLOBE GIF 1.603 15.05.98 20:01 HLPGLOBE.GIF
HLPLOGO GIF 1.185 15.05.98 20:01 HLPLOGO.GIF
HLPSTEP1 GIF 1.107 15.05.98 20:01 HLPSTEP1.GIF
HLPSTEP2 GIF 1.154 15.05.98 20:01 HLPSTEP2.GIF
HLPSTEP3 GIF 1.249 15.05.98 20:01 HLPSTEP3.GIF
WINLOGO GIF 1.434 15.05.98 20:01 WINLOGO.GIF
HTMLHELP HTM 520 15.05.98 20:01 HTMLHELP.HTM
README HTM 613 15.05.98 20:01 README.HTM
READM_01 HTZ 596 15.05.98 20:01 READM_01.HTZ
READM_02 HTZ 4.666 15.05.98 20:01 READM_02.HTZ
WINUPD ICO 10.134 15.05.98 20:01 WINUPD.ICO
DOSREP INI 865 15.05.98 20:01 DOSREP.INI
HTMLHELP INI 3.550 15.05.98 20:01 HTMLHELP.INI
IOS INI 12.327 15.05.98 20:01 IOS.INI
SCANREG INI 787 15.05.98 20:01 SCANREG.INI
DOSPRMPT PIF 545 15.05.98 20:01 DOSPRMPT.PIF
EXPLORER SCF 80 15.05.98 20:01 EXPLORER.SCF
ASPI2HLP SYS 1.105 15.05.98 20:01 ASPI2HLP.SYS
CMD640X SYS 24.626 15.05.98 20:01 CMD640X.SYS
CMD640X2 SYS 20.901 15.05.98 20:01 CMD640X2.SYS
DBLBUFF SYS 2.614 15.05.98 20:01 DBLBUFF.SYS
IFSHLP SYS 3.708 15.05.98 20:01 IFSHLP.SYS
ALLGEM TXT 47.017 15.05.98 20:01 ALLGEM.TXT
ANTWORT TXT 15.618 15.05.98 20:01 ANTWORT.TXT
ANZEIGE TXT 24.553 15.05.98 20:01 ANZEIGE.TXT
CONFIG TXT 19.610 15.05.98 20:01 CONFIG.TXT
DRUCKER TXT 27.834 15.05.98 20:01 DRUCKER.TXT
HARDWARE TXT 45.945 15.05.98 20:01 HARDWARE.TXT
MAUS TXT 6.664 15.05.98 20:01 MAUS.TXT
MSDOSDRV TXT 50.362 15.05.98 20:01 MSDOSDRV.TXT
NETZWERK TXT 40.845 15.05.98 20:01 NETZWERK.TXT
PROGRAMM TXT 55.821 15.05.98 20:01 PROGRAMM.TXT
SFCSYNC TXT 1.735 15.05.98 20:01 SFCSYNC.TXT
TIPS TXT 16.073 15.05.98 20:01 TIPS.TXT
CONFDENT CPE 4.627 15.05.98 20:01 CONFDENT.CPE
FYI CPE 4.878 15.05.98 20:01 FYI.CPE
GENERIC CPE 6.366 15.05.98 20:01 GENERIC.CPE
URGENT CPE 4.772 15.05.98 20:01 URGENT.CPE
CALC EXE 94.208 15.05.98 20:01 CALC.EXE
MPLAYER EXE 159.744 15.05.98 20:01 MPLAYER.EXE
PBRUSH EXE 20.480 15.05.98 20:01 PBRUSH.EXE
RG2CATDB EXE 40.960 15.05.98 20:01 RG2CATDB.EXE
SNDVOL32 EXE 69.632 15.05.98 20:01 SNDVOL32.EXE
WRITE EXE 20.480 15.05.98 20:01 WRITE.EXE
TOUR98 EXE 188.416 15.05.98 20:01 TOUR98.EXE
SERVICES TXT 3.204 15.05.98 20:01 SERVICES.TXT
COMMAND COM 96.360 15.05.98 20:01 COMMAND.COM
SERVICES 6.032 15.05.98 20:01 SERVICES
SNMPAPI DLL 32.768 15.05.98 20:01 SNMPAPI.DLL
NETWORKS 466 15.05.98 20:01 NETWORKS
MS-DOS~1 PIF 3.181 15.05.98 20:01 MS-DOS-Modus f�r Spiele.pif
MS-DOS~2 PIF 3.372 15.05.98 20:01 MS-DOS-Modus f�r Spiele mit EMS- und XMS-Unterst�tzung.pif
STROHM~1 BMP 590 15.05.98 20:01 Strohmatte.bmp
KUGELN BMP 2.118 15.05.98 20:01 Kugeln.bmp
ŽGYPTEN BMP 582 15.05.98 20:01 Žgypten.bmp
HAHNEN~1 BMP 470 15.05.98 20:01 Hahnentritt.bmp
DREIECKE BMP 198 15.05.98 20:01 Dreiecke.bmp
BLAUEN~1 BMP 194 15.05.98 20:01 Blaue Noppen.bmp
SCHWAR~1 BMP 182 15.05.98 20:01 Schwarzes Geflecht.bmp
CHANNE~1 SCR 84.544 15.05.98 20:01 Channelbildschirmschoner.SCR
ARP EXE 28.672 15.05.98 20:01 ARP.EXE
FTP EXE 45.056 15.05.98 20:01 FTP.EXE
LMHOSTS SAM 3.717 15.05.98 20:01 LMHOSTS.SAM
NETSTAT EXE 32.768 15.05.98 20:01 NETSTAT.EXE
PING EXE 28.672 15.05.98 20:01 PING.EXE
ROUTE EXE 32.768 15.05.98 20:01 ROUTE.EXE
TELNET EXE 77.824 15.05.98 20:01 TELNET.EXE
TRACERT EXE 20.480 15.05.98 20:01 TRACERT.EXE
WINIPCFG EXE 53.248 15.05.98 20:01 WINIPCFG.EXE
IPCONFIG EXE 53.248 15.05.98 20:01 IPCONFIG.EXE
NBTSTAT EXE 34.543 15.05.98 20:01 NBTSTAT.EXE
INETMIB1 DLL 53.248 15.05.98 20:01 INETMIB1.DLL
PROTMAN DOS 22.810 15.05.98 20:01 PROTMAN.DOS
PROTMAN EXE 14.952 15.05.98 20:01 PROTMAN.EXE
NDISHLP SYS 6.140 15.05.98 20:01 NDISHLP.SYS
NET EXE 356.134 15.05.98 20:01 NET.EXE
NET MSG 117.024 15.05.98 20:01 NET.MSG
NETH MSG 74.001 15.05.98 20:01 NETH.MSG
WINPOPUP EXE 28.299 15.05.98 20:01 WINPOPUP.EXE
PCFWIN EXE 469.504 19.03.98 21:47 PCFWIN.EXE
PCFWIN HLP 38.367 19.03.98 21:19 PCFWIN.HLP
PCFMIN EXE 38.384 19.03.98 21:00 PCFMIN.EXE
README WRI 20.224 17.03.98 21:57 README.WRI
PCF SCR 71.680 29.11.97 21:42 PCF.SCR
GSREMOVE EXE 59.392 27.11.97 23:19 GSREMOVE.EXE
BATTERIE WAV 53.804 30.11.96 15:47 BATTERIE.WAV
UNIN0407 EXE 302.592 06.11.96 12:05 unin0407.exe
247 Datei(en) 118.827.037 Bytes
0 Verzeichnis(se) 2.630.948.864 Bytes frei




Datentr„ger in Laufwerk C: WIN98
Seriennummer des Datentr„gers: 3F9A-A11D
Verzeichnis von C:\

SYS TXT 0 17.08.06 22:37 sys.txt
SYSTEM TXT 14.342 17.08.06 22:36 system.txt
SYSTEM~1 TXT 285 17.08.06 22:36 systemtemp.txt
SYSTEM32 TXT 456 17.08.06 22:34 system32.txt
AUTOEXEC BAT 377 17.08.06 21:57 AUTOEXEC.BAT
SCANDISK LOG 108.853 17.08.06 21:54 SCANDISK.LOG
PCF INI 386 23.02.06 22:33 PCF.INI
SETUP LOG 257 23.02.06 22:16 SETUP.LOG
ADBERD~1 EXE 18.676.216 10.03.05 22:57 AdbeRdr60_deu_full.exe
AUTOEXEC NAV 377 15.02.05 7:41 autoexec.nav
TMPATCH DLL 176.128 03.12.04 8:11 tmPatch.dll
SAFERS~1 EXE 563.690 02.12.04 15:17 SaferSurf-Install.exe
UPDATE~1 EXE 422.912 01.12.04 11:52 Update5.2.0-2003.exe
DCOM98 EXE 1.229.056 12.11.04 9:26 DCOM98.EXE
WINDOW~1 BMK 63 27.04.04 20:58 WINDOWSWinHlp32.BMK
BOOTLOG TXT 29.176 01.04.04 23:08 BOOTLOG.TXT
BOOTLOG PRV 29.176 01.04.04 0:27 BOOTLOG.PRV
CONFIG SYS 130 25.10.03 20:22 CONFIG.SYS
MSDOS SYS 1.687 25.10.03 20:21 MSDOS.SYS
SETUPXLG TXT 637 25.10.03 20:01 SETUPXLG.TXT
AUTOEXEC BAR 134 25.10.03 16:39 AUTOEXEC.BAR
SETUPLOG TXT 89.474 25.10.03 16:38 SETUPLOG.TXT
NETLOG TXT 3.166 25.10.03 16:38 NETLOG.TXT
DETLOG TXT 71.415 25.10.03 16:34 DETLOG.TXT
FRUNLOG TXT 1.088 25.10.03 16:32 FRUNLOG.TXT
SUHDLOG DAT 5.166 25.10.03 16:24 SUHDLOG.DAT
SYSTEM 1ST 380.960 25.10.03 16:24 SYSTEM.1ST
MSDOS --- 22 25.10.03 16:17 MSDOS.---
COMMAND COM 96.360 15.05.98 20:01 COMMAND.COM
IO SYS 222.390 15.05.98 20:01 IO.SYS
PCFWIN EXE 469.504 19.03.98 21:47 PCFWIN.EXE
PCFWIN HLP 38.367 19.03.98 21:19 PCFWIN.HLP
PCFMIN EXE 38.384 19.03.98 21:00 PCFMIN.EXE
README WRI 20.224 17.03.98 21:57 README.WRI
PCF SCR 71.680 29.11.97 21:42 PCF.SCR
BATTERIE WAV 53.804 30.11.96 15:47 BATTERIE.WAV
36 Datei(en) 22.816.342 Bytes
0 Verzeichnis(se) 2.630.942.720 Bytes frei

#6 o.k. ich warte auf die anderen LOGS, dann beginnt die Reinigung
__________
MfG Sabina

rund um die PC-Sicherheit

#7

Zitat

Sabina postete
o.k. ich warte auf die anderen LOGS, dann beginnt die Reinigung

Hi,

also ich war remote auf seinem Rechner und habe die Programme durchlaufen lassen und die Logs hier reinkopiert. Blacklight ging nicht weil eine Datei fehlte.

Er hat Windows 98, ich weiß daher nicht, ob alle Tools richtig funktioniert haben, wie sie sollten.

An Logs war das alles jetzt. Sehe gerade, dass es nicht nur die letzten 3 Monate sind, aber ist ja trotzdem nicht zu viel gewesen.

PS: NortonAntivirus habe ich deinstalliert, nach der Erstellung des Hijackthis-Logs, da es Fixwareout dazwischengefunkt hat. Es war parallel zu Antivir installiert. Die Norton Lizenz war abgelaufen.

#8 aqua57

es ist sehr schwer, das zu sauebern, weil die meisten meiner Proggies nicht auf Win98 laufen, die versteckten Dateien kann ich so nicht sichtbar machen....

1.
loesche den kompletten Ordner von C:\Programme\KillAndClean

ich weiss nicht, ob es das auf Win98 gibt: suche und loesche:

C:\Dokumente und Einstellungen\deinUsername\Anwendungsdaten\kc.tmp
C:\Dokumente und Einstellungen\deinUsername\Anwendungsdaten\wo.tmp

2.
keine Ahnung, ob der Avenger auf win98 funktioniert

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\SYSTEM\CSOLH.EXE
C:\WINDOWS\SYSTEM\CSARV.EXE
C:\WINDOWS\SYSTEM\DMPDQ.EXE
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

----------------------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

beachte, dass auch deine Internetverbindung, die zur Zeit auf einen Server in die Ukraine umgeleitet wird - geloescht wird.
Du musst also nach neustart eine neue Internetverbindung mit den Daten von deinem Provider erstellen
Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn IP und DNS automatisch beziehen. -> anhaken

Zitat

R3 - URLSearchHook: (no name) - {D802B30E-4835-8123-4BFC-443F5E4390AC} - ERTYDF.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\{3CABD003-088F-11DB-822B-00E04CEB6DEB}.DLL (file missing)
O4 - HKLM\..\Run: [sysmon12] NsCplTray.exe
O4 - HKLM\..\Run: [stuffmon] ERTYDF.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [AppMasterCenter] Brong32.exe
O4 - HKCU\..\Run: [ABCXYZ] ERTYDF.exe
O4 - HKCU\..\Run: [qwe] TemplateDongle.exe

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU)

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.116.139,85.255.112.7

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
spybot
http://www.safer-networking.org/en/download/index.html

**
ich weiss nicht, ob das auf Win98 geht, versuche es mal und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

vielen Dank schon mal für deine schnelle Antwort und deine Hilfe. Ich melde mich die Tage wieder, wenn ich die Logs habe. Wir müssen erst noch einen Termin abstimmen, an dem ich die ganzen Anweisungen auf seinem PC durchführen kann.

Dass die Behandlung unter Windows 98 zusätzliche Probleme macht, habe ich schon befürchtet. Mittelfristig soll auch ein neuer PC bei ihm zum Einsatz kommen, auf dem dann Windows XP installiert ist.

Problem dabei ist, dass ein liebgewonnenes Schreibprogramm nicht unter Windows 2000/XP läuft und der Druckerhersteller keinen Treibersupport für Windows XP bietet und dieser daher ebenfalls nur unter Win 98 läuft.

Also wie gesagt, ich melde mich dann wieder, wenn ich die Logs habe

#10 versucht es, und berichtet immer per logs, damit ich weiss, wie der Stand der Dinge ist.
Zur Not gibt es dann noch Onlinescanner, die auch mit Win98 funktionieren
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 1. C:\programme\killandclean existierte nicht (mehr).

2. kc.tmp habe ich gelöscht (war in anderem Verzeichnis). wo.tmp hat er nicht gefunden.

3. Avenger funktionierte unter Windows 98 nicht. Sollen die Dateien manuell gelöscht werden?

4. HijackThis Scan durchgeführt und Eintragungen gefixt (Killandclean tauchte dort allerdings nicht auf).

5. Host-Datei wiederhergestellt.

6. Spybot hat 64 Probleme behoben. Dort tauchte auch Killandclean wieder auf.

7. Mit SuperAntispyware gescannt. 5 Probleme behoben.

Scanreport:

SUPERAntiSpyware Scan Log
Generated 08/20/2006 at 04:22 PM

Core Rules Database Version : 3056
Trace Rules Database Version: 1103

Memory threats detected : 0
Registry threats detected : 3
File threats detected : 19

Parasite.WareOut
HKLM\Software\Classes\CLSID\{D802B30E-4835-8123-4BFC-443F5E4390AC}
HKCR\CLSID\{D802B30E-4835-8123-4BFC-443F5E4390AC}
HKCR\CLSID\{D802B30E-4835-8123-4BFC-443F5E4390AC}\InprocServer32
ERTYDF.dll

Adware.Tracking Cookie
C:\WINDOWS\Cookies\hans@as1.falkag[1].txt
C:\WINDOWS\Cookies\hans@komtrack[2].txt
C:\WINDOWS\Cookies\hans@e-2dj6wflosnajwcp.stats.esomniture[2].txt
C:\WINDOWS\Cookies\hans@partners.webmasterplan[1].txt
C:\WINDOWS\Cookies\hans@msnportal.112.2o7[1].txt
C:\WINDOWS\Cookies\hans@apmebf[1].txt
C:\WINDOWS\Cookies\hans@2o7[2].txt
C:\WINDOWS\Cookies\hans@e-2dj6wjkywjazefo.stats.esomniture[2].txt
C:\WINDOWS\Cookies\hans@serving-sys[1].txt
C:\WINDOWS\Cookies\hans@e-2dj6wgkyqjd5map.stats.esomniture[1].txt
C:\WINDOWS\Cookies\hans@e-2dj6wjkywlczkfp.stats.esomniture[2].txt
C:\WINDOWS\Cookies\hans@e-2dj6wjkospdpeaq.stats.esomniture[1].txt
C:\WINDOWS\Cookies\hans@euros4click[1].txt

Browser Hijacker.Favorites
C:\WINDOWS\Favoriten\Sex and Dating
C:\WINDOWS\Favoriten\Spyware Uninstall

Trojan.DOmen
c:\WINDOWS\SYSTEM\csolh.exe
c:\WINDOWS\SYSTEM\csarv.exe

Trojan.Unknown Origin
c:\WINDOWS\SYSTEM\{3CABD005-088F-11DB-822B-00E04CEB6DEB}.exe



8. Neues Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:39:03, on 20.08.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PCFWIN.EXE
C:\MLT1100L\wswpd.exe
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\MULTIMEDIA CARD READER\SHWICON98.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\COREL\OFFICE7\SHARED\PFIT7\PFPPOP70.EXE
C:\PROGRAMME\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

F1 - win.ini: load=C:\PCFMIN.EXE C:\WINDOWS\PCFMIN.EXE
F1 - win.ini: run=C:\MLT1100L\WSWPD.EXE
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickFinder Scheduler] C:\COREL\OFFICE7\SHARED\QFINDER7\QFSCHED.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Minolta PageWorks/Pro 1100L] C:\MLT1100L\WSWPD.EXE
O4 - HKLM\..\Run: [Sunkist] C:\Programme\Multimedia Card Reader\shwicon98.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [WinVNC4] "C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE" -noconsole -service
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\PROGRAMME\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
O4 - Startup: PerfectPrint.LNK = C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1
O20 - Winlogon Notify: SASWinLogon - C:\PROGRAMME\SUPERANTISPYWARE\SASWINLO.DLL



Fertig

#12 aqua57

öffne das HijackThis -- Button "scan" -- Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

PC neustarten

**
wenn du es findest - loeschen

C:\WINDOWS\SYSTEM\DMPDQ.EXE
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav

-------------------------------------
**
scanne mit Bitdefender und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 1. HijackThis-Fix durchgeführt.

2. Die 3 angegebenen Dateien gab es nicht (mehr).

3. Bitdefender hat gemeldet: Keine Viren gefunden

Sind wir fertig? Das wäre schön. Falls es das gewesen sein sollte, vielen Dank für deine schnelle Hilfe. Ich überweise dann im Auftrag meines Bekannten eine kleine Spende


Kannst du mir noch sagen, welche Antispywareprogramme man denn dauerhaft installiert haben sollte? Ich habe auf meinem Rechner jetzt vor lauter Testen folgende installiert:


• SpywareGuard
• SpywareBlaster
• SUPERAntiSpyware
• Spybot Search&Destroy + TeaTimer
• Adaware
• SpywareDoctor
• Ewido Anti-Spyware


Das kommt mir dann doch etwas viel vor, welches ist denn das beste, welche/wieviele sollte man parallel laufen lassen?

#14 poste dann hier den report, aber ich denke, dass alles sauber ist...mal sehen
__________
MfG Sabina

rund um die PC-Sicherheit

#15

Zitat

Sabina postete
poste dann hier den report, aber ich denke, dass alles sauber ist...mal sehen

Habe gerade oben den Beitrag aktualisiert. Da er nix gefunden hat, habe ich jetzt keinen Report da, bzw der liegt bei meinem Bekannten auf dem Rechner und der ist jetzt auf dem Weg in's Bett.

Kannst du noch kurz sagen, welche Anti-Spyware-Programme man langfrisitig installiert haben sollte, viele sollen ja überwachen, dass sich sowas gar nicht erst einnistet.

Windowsupdates wurden gemacht und den Firefox habe ich ihm jetzt installiert.