Lästige Popups im IE + langsamer RechnerThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
02.09.2006, 12:37
Member
Beiträge: 16 |
||
|
||
02.09.2006, 15:36
Ehrenmitglied
Beiträge: 29434 |
#2
M.D. Geist
1. loesche manuell oder mit der killbox: http://virus-protect.org/killbox.html C:\WINDOWS\System32\vbsys2.dll ------------------------------------------------------------ 2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O16 - DPF: {33331111-1111-1111-1111-611111193423} -3. scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 16:50
Member
Themenstarter Beiträge: 16 |
#3
Erstmal vielen Dank für die schnelle Antwort!!!
Ich entschuldige mich für den Extrapost aber ich bin nicht so der große Computerchecker . Also frag' ich lieber nach bevor ich etwas falsch mache. Ich muss die oben genannte Datei löschen und dann das was im Kasten steht in Hijackthis mit einem Häckchen versehen??? Muss ich vorher noch die Systemwiederherstellung abschalten und/oder alles im abgesicherten Modus durchführen??? Wie gesagt ich bin nicht der große Checker bitte hab' Nachsicht mit mir |
|
|
||
02.09.2006, 16:57
Ehrenmitglied
Beiträge: 29434 |
#4
zuerst loeschst du die vbsys2.dll, dann setzt du vor die geposteten 4 Eintraege im HijackThis ein Haekchen und fixt sie, dann den Rechner neustarten.
scannen solltest du dann im normalmodus und noch mal im abgesicherten modus __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 17:03
Member
Themenstarter Beiträge: 16 |
#5
OK werd' ich gleich mal machen!!! Muss ich dann anschließend zwingend dieses Superantispyware benutzen oder reicht Adaware aus bzw. sollte ich Adaware nicht vorher deinstallieren damit es zwischen den beiden Progs nicht zu Konflikten kommt???
|
|
|
||
02.09.2006, 17:40
Ehrenmitglied
Beiträge: 29434 |
#6
es kommt zu keinen Konflikten, installiere den Superantispyware - ist free
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 17:59
Member
Themenstarter Beiträge: 16 |
#7
So da wär' ich wieder!!! Also hab' alles so gemacht wie oben beschrieben. Superantispyware konnte nichts Auffälliges feststellen und bis jetzt sind auch keine lästigen Popups aufgetaucht. Ein superdickes Lob und tausend Dank (meine Freude lässt sich kaum in Worten fassen) an dich Sabina.
Ich weiß ich nerve aber ein paar kleine Fragen hätteich noch: 1. War diese vbsys2.dll nicht wichtig, sprich braucht man sie??? 2. Wie hab' ich mir den Sch*** eigentlich eingefangen (so Seiten wie adultfriendfinder und so Besuch ich eigentlich nicht)??? 3. Wäre es ratsam SP2 auf meinem Rechner zu installieren oder bietet es nicht wirklich mehr Schutz als SP1??? 4. Ist dieses Superantispyware besser als Adaware??? Ich bin wirklich überglücklich das alles geklappt hat! DANKEEEEEEEE !!! |
|
|
||
02.09.2006, 18:30
Ehrenmitglied
Beiträge: 29434 |
#8
M.D. Geist
* SP2 ist ein Muss * vbsys2.dll ist ein Virus , eingefangen mit dem IE + aktiviertem AktiveX * surfe nicht mehr mit dem IE, lasse ihn nur fuer die Windowsupdates, lade den Browser Firefox http://virus-protect.org/firefox.html ** Superantispyware ist Guard + Scanner - ein feines Tool ---------- alles Gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 18:41
Member
Themenstarter Beiträge: 16 |
#9
Dann werd' ich gleich mal auf SP2 aufrüsten und nur noch mit dem Browser von AOL surfen.
Ach ja was ich vergaß zu fragen ich hab' gestern etwas bei Amazon bestellt. Besteht die Gefahr, dass meine Bankdaten usw. jdm. in die Hände fielen??? Nochmals tausend Dank!!! PS: Die Hilfe von dir ist super, machst du das beruflich (also dummen Leuten wie mir aus der Patsche helfen )??? |
|
|
||
02.09.2006, 18:44
Ehrenmitglied
Beiträge: 29434 |
#10
deine Bankdaten muessten sicher sein, die dll ist nicht im Webbrowser verankert, ich lege nicht meine Hand dafuer ins Feuer, aber ich denke, es besteht keine Gefahr
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 18:49
Member
Themenstarter Beiträge: 16 |
#11
Dann bin ich beruhigt!!! In Zukunft werd' ich vorsichtiger sein!!!
Ich wünsche dir noch einen schönen Abend !!! Der Thread kann von mir aus geschlossen werden, da das Problem nicht mehr besteht. |
|
|
||
Ich hab' seit kurzem folgendes Problem: Immer wenn ich mit dem Internet Explorer irgendwelche Seiten aufmache (z.B. Google), öffnet sich von alleine noch eine andere die mich entweder auf adultfriendfinder.com, auf sexsearch.com oder auf goplaypokernow.com schickt. Was auch extrem seltsam ist, ist das wenn ich offline im Explorer auf Extras => Ordneroptionen => Ansicht gehe und "Alle zurücksetzen" klicke, kommt das Kästchen "Webseite nicht gefunden bla bla". Was alles noch schlimmer macht, ist das ab und zu beim Surfen der Rechner total langsam wird und nichts mehr geht. Norton Antivirus und auch Adaware können nichts verdächtiges finden. Ich bin total ratlos.
Hier meine Hijackthis-Log. Wenn noch andere Logs/ Auskünfte zu meinem Rechner erwünscht sind werde ich sie natürlich posten.
Danke schon mal im Voraus für jegliche Hilfe!!!
Logfile of HijackThis v1.99.1
Scan saved at 12:15:09, on 02.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PowerS.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\All Users\Dokumente\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://hollywoodfx.pinnaclesys.com/cgi-bin/register.pl?language=de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{337547CE-A67F-4817-9637-58B4B7CA6AE1}: NameServer = 205.188.146.145
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Hier der Bericht von Combofix:
ComboFix 06.08.30BT - Running from: C:\Dokumente und Einstellungen\All Users\Dokumente\Hijackthis
((((((((((((((((((((((((((((((( Files Created from 2006-08-02 to 2006-09-02 ))))))))))))))))))))))))))))))))))
2006-08-07 16:02 534,208 --a------ C:\WINDOWS\system32\SymNeti.dll
2006-08-07 16:02 161,472 --a------ C:\WINDOWS\system32\SymRedir.dll
2006-08-06 13:05 167,936 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-09-02 13:16 -------- d-------- C:\Programme\CleanUp!
2006-09-01 20:03 -------- d-------- C:\Programme\Messenger
2006-09-01 19:58 -------- d-------- C:\Programme\Outlook Express
2006-09-01 14:58 -------- d-------- C:\Programme\Lavasoft
2006-09-01 14:58 -------- d-------- C:\Dokumente und Einstellungen\German Elizondo\Anwendungsdaten\Lavasoft
2006-09-01 10:50 -------- d-------- C:\Programme\eMule
2006-08-12 18:51 -------- d-------- C:\Programme\Symantec
2006-08-07 16:02 31936 --a------ C:\WINDOWS\system32\drivers\symids.sys
2006-08-07 16:02 28352 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2006-08-07 16:02 24768 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2006-08-07 16:02 195776 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2006-08-07 16:02 110784 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2006-08-07 16:01 12992 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2006-08-06 13:05 -------- d-------- C:\Programme\Illustrate
2006-08-04 21:25 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-04 21:25 -------- d-------- C:\Programme\Rockstar Games
2006-07-22 15:36 1544 --a------ C:\Dokumente und Einstellungen\German Elizondo\Anwendungsdaten\wklnhst.dat
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-13 10:51 612864 --a------ C:\WINDOWS\system32\xpsp2res.dll
2006-06-17 15:36 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerS"="C:\\WINDOWS\\PowerS.exe"
"CARPService"="carpserv.exe"
"Agent"="\"C:\\Programme\\CyberLink Media Carnival\\PowerVCR II\\Agent.exe\""
"Remote_Agent"="\"C:\\Programme\\CyberLink Media Carnival\\PowerVCR II\\RemoteAgent.exe\""
"IW ControlCenter"="C:\\Programme\\Pinnacle\\InstantCDDVD\\InstantWrite\\iwctrl.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"remotecontrol"="C:\\Programme\\ASUS\\ASUS Remote Master\\Remote Master.exe"
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SSC_UserPrompt"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Norton QuickScan ausfhren - German Elizondo.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - German Elizondo.job
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 02.09.2006 13:41:44.31
ComboFix.txt
Und hier die Datfindbat-Logs:
System32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C63-97A0
Verzeichnis von C:\WINDOWS\system32
02.09.2006 13:39 50.257 nvapps.xml
02.09.2006 13:32 0 ansi.cfg
01.09.2006 20:15 13.646 wpa.dbl
01.09.2006 20:00 170 spupdsvc.inf
07.08.2006 16:02 534.208 SymNeti.dll
07.08.2006 16:02 161.472 SymRedir.dll
06.08.2006 13:05 17.867 SpoonUninstall-dBpowerAMP Music Converter.dat
06.08.2006 13:05 167.936 SpoonUninstall.exe
06.08.2006 13:04 27.958 SpoonUninstall-dBpowerAMP Music Converter.bmp
04.08.2006 20:06 463.360 URLMON.DLL
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:57 307.200 netapi32.dll
14.07.2006 17:36 519.168 hhctrl.ocx
13.07.2006 15:50 8.394.240 shell32.dll
13.07.2006 10:51 612.864 xpsp2res.dll
05.07.2006 12:53 1.002.496 kernel32.dll
30.06.2006 10:51 2.703.872 MSHTML.DLL
26.06.2006 19:47 140.288 dnsapi.dll
26.06.2006 19:47 6.144 rasadhlp.dll
23.06.2006 13:27 582.144 WININET.DLL
22.06.2006 12:59 169.984 rasmans.dll
17.06.2006 15:36 98.304 CmdLineExt.dll
09.06.2006 14:35 351.744 DXTMSFT.DLL
09.06.2006 14:35 192.512 DXTRANS.DLL
2108 Datei(en) 414.587.484 Bytes
0 Verzeichnis(se), 108.341.567.488 Bytes frei
Temp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C63-97A0
Verzeichnis von C:\DOKUME~1\GERMAN~1\LOKALE~1\Temp
02.09.2006 13:39 16.384 ~DF9A39.tmp
02.09.2006 13:39 935 hpodvd09.log
2 Datei(en) 17.319 Bytes
0 Verzeichnis(se), 108.341.583.872 Bytes frei
Windows:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C63-97A0
Verzeichnis von C:\WINDOWS
02.09.2006 13:38 0 0.log
02.09.2006 13:38 1.175.707 WindowsUpdate.log
02.09.2006 13:38 159 wiadebug.log
02.09.2006 13:38 50 wiaservc.log
02.09.2006 13:38 2.048 bootstat.dat
02.09.2006 13:38 32.380 SchedLgU.Txt
02.09.2006 13:31 786 win.ini
02.09.2006 12:43 189.117 setupact.log
01.09.2006 20:01 56.743 iis6.log
01.09.2006 20:01 132.006 comsetup.log
01.09.2006 20:01 78.326 ntdtcsetup.log
01.09.2006 20:01 142.963 tsoc.log
01.09.2006 20:01 1.355 imsins.log
01.09.2006 20:01 34.383 KB918899-IE6SP1-20060725.123917.log
01.09.2006 20:01 13.149 ocmsn.log
01.09.2006 20:01 191.303 ocgen.log
01.09.2006 20:01 18.297 msgsocm.log
01.09.2006 20:01 363.964 FaxSetup.log
01.09.2006 20:01 411.723 setupapi.log
01.09.2006 20:01 37.600 updspapi.log
01.09.2006 20:01 1.355 imsins.BAK
01.09.2006 20:01 38.390 KB922616.log
01.09.2006 20:01 40.754 KB921398.log
01.09.2006 20:01 39.472 KB920683.log
01.09.2006 20:00 37.868 KB920670.log
01.09.2006 20:00 38.031 KB917422.log
01.09.2006 20:00 37.835 KB921883.log
01.09.2006 20:00 37.312 KB917159.log
01.09.2006 20:00 37.905 KB914388.log
01.09.2006 20:00 25.649 KB911280.log
01.09.2006 19:59 17.716 KB917953.log
01.09.2006 19:59 19.044 KB913580.log
01.09.2006 19:59 17.182 KB917344.log
01.09.2006 19:59 8.157 KB918439-IE6SP1-20060530.145346.log
01.09.2006 19:59 16.452 KB914389.log
01.09.2006 19:59 15.051 KB908531.log
01.09.2006 19:59 13.412 KB911562.log
01.09.2006 19:58 6.305 KB911567-OE6SP1-20060316.165634.log
01.09.2006 19:44 5.644 WGA.log
11.08.2006 20:20 3.694 ModemLog_FM-56PCI-HSFi-AB.txt
26.06.2006 14:20 227 system.ini
17.06.2006 15:27 243.425 DirectX.log
17.06.2006 15:22 0 setuperr.log
188 Datei(en) 10.918.587 Bytes
0 Verzeichnis(se), 108.341.567.488 Bytes frei
C:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C63-97A0
Verzeichnis von C:\
02.09.2006 13:44 0 sys.txt
02.09.2006 13:44 9.673 system.txt
02.09.2006 13:44 346 systemtemp.txt
02.09.2006 13:43 102.989 system32.txt
02.09.2006 13:38 805.306.368 pagefile.sys
26.06.2006 14:20 194 boot.ini
13 Datei(en) 805.707.398 Bytes
0 Verzeichnis(se), 108.341.567.488 Bytes frei