Infizierte Objekte: Trojan.Win32.DNSChanger.as

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.09.2006, 11:52
Member

Beiträge: 130
#1 Also ich hab meinem freund mal empfohlen seinen pc mit kaspersky online scanner zu checken. Besonderen Grund hatte das nicht, nur schaden kanns nicht haben wir uns gedacht. Würden uns über hilfe freuen wie wir vorallem den torjaner (sicher)loswerden ;)

Schonmal danke im vorraus mfg Terementor


C:\WINDOWS\system32\hgqhp.exe Infizierte Objekte: Trojan.Win32.DNSChanger.as übersprungen

C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Finger[1].zip\Finger.exe Infizierte Objekte: not-virus:BadJoke.Win32.Finger.b


anbei noch ein hijackthis logfile von ihm(nicht im abgesichertem modus) :

Logfile of HijackThis v1.99.1
Scan saved at 11:45:36, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Dokumente und Einstellungen\*\Desktop\Spiele\Hamachi\hamachi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\lxcfcoms.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxcfPSWX.EXE
C:\Programme\Latein-Wörterbuch\Latein-Woerterbuch.exe
C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BitTorrent.lnk = C:\Programme\BitTorrent\bittorrent.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: p6übersicht.lnk = C:\Programme\phase6\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136469868593
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A5385B6-6442-4F02-B7A6-5CBFEE154A01}: NameServer = 85.255.114.11,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.114.11,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B760CD6-9AD3-4E73-9316-5710BB1CD6D1}: NameServer = 85.255.114.11,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCCFA1D-5690-4867-A64E-DDE9CDCFB5F7}: NameServer = 85.255.114.11,85.255.112.73
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)
Seitenanfang Seitenende
04.09.2006, 12:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Terementor

1.
poste das log
http://virus-protect.org/artikel/tools/fixwareout.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
poste das log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2006, 21:24
Member

Themenstarter

Beiträge: 130
#3 1.


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\dxdmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


2. Ausgeführt und 1.7gb gelöscht lol

3. Hab alles von 2006 gepostest nicht nur 3monate:

Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

14.08.2006 15:53 2.206 wpa.dbl
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
22.07.2006 17:50 98.304 CmdLineExt.dll
21.07.2006 10:29 72.704 hlink.dll
15.07.2006 16:23 383.262 perfh009.dat
15.07.2006 16:23 394.678 perfh007.dat
15.07.2006 16:23 54.412 perfc009.dat
15.07.2006 16:23 65.538 perfc007.dat
15.07.2006 16:23 907.762 PerfStringBackup.INI
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
09.07.2006 14:51 21.840 SIntfNT.dll
09.07.2006 14:51 17.212 SIntf32.dll
09.07.2006 14:51 12.067 SIntf16.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 10:53 27.136 xpsp3res.dll
09.06.2006 19:09 57.384 avsda.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
22.05.2006 22:02 16.832 amcompat.tlb
22.05.2006 22:02 23.392 nscompat.tlb
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
10.05.2006 02:49 269.824 Audiodev.dll
10.05.2006 02:49 7.757.312 wmploc.dll
10.05.2006 02:14 3.749.888 WpdShext.dll
10.05.2006 02:14 97.792 SET15A.tmp
10.05.2006 02:14 97.792 wmpshell.dll
10.05.2006 02:13 262.656 wmerror.dll
10.05.2006 02:12 8.192 asferror.dll
09.05.2006 22:36 6.656 uWDF.exe
09.05.2006 22:36 6.656 WdfMgr.exe
09.05.2006 22:26 992.256 WMNetMgr.dll
09.05.2006 22:26 155.136 wmidx.dll
09.05.2006 22:26 1.641.472 wmpencen.dll
09.05.2006 22:26 10.394.624 wmp.dll
09.05.2006 22:26 165.376 MsPMSP.dll
09.05.2006 22:26 337.408 wmdrmnet.dll
09.05.2006 22:26 417.280 wmdrmdev.dll
09.05.2006 22:26 36.864 WMDMPS.dll
09.05.2006 22:26 31.744 WMDMLOG.dll
09.05.2006 22:26 306.688 MSWMDM.dll
09.05.2006 22:26 237.056 wmpasf.dll
09.05.2006 22:26 705.024 WMADMOD.dll
09.05.2006 22:26 201.728 qasf.dll
09.05.2006 22:26 433.152 wmpeffects.dll
09.05.2006 22:26 4.096 wmsdmoe2.dll
09.05.2006 22:26 564.736 WMSPDMOD.dll
09.05.2006 22:26 26.112 MsPMSNSv.dll
09.05.2006 22:26 301.056 wmpdxm.dll
09.05.2006 22:26 4.096 wdfApi.dll
09.05.2006 22:26 1.280.000 WMSPDMOE.dll
09.05.2006 22:26 4.096 WMVADVD.dll
09.05.2006 22:26 135.680 wmpps.dll
09.05.2006 22:26 4.096 WMVADVE.DLL
09.05.2006 22:26 4.096 MPG4DMOD.dll
09.05.2006 22:26 1.063.424 WMADMOE.dll
09.05.2006 22:26 212.480 msnetobj.dll
09.05.2006 22:26 4.096 wmvdmod.dll
09.05.2006 22:26 4.096 wmvdmoe2.dll
09.05.2006 22:26 203.776 wmpsrcwp.dll
09.05.2006 22:26 221.696 wmasf.dll
09.05.2006 22:26 4.096 wmsdmod.dll
09.05.2006 22:26 4.096 MP43DMOD.dll
09.05.2006 22:26 221.696 SET10E.tmp
09.05.2006 22:26 219.648 CEWMDM.dll
09.05.2006 22:26 4.096 MP4SDMOD.dll
09.05.2006 22:26 9.728 LAPRXY.dll
09.05.2006 22:22 2.463.744 wmvcore.dll
09.05.2006 22:22 2.463.744 SET11C.tmp
09.05.2006 21:02 230.400 l3codecp.acm
09.05.2006 21:02 84.480 logagent.exe
09.05.2006 21:01 1.359.360 WMVSDECD.dll
09.05.2006 21:01 1.463.808 WMVDECOD.dll
09.05.2006 21:00 770.560 WMVSENCD.dll
09.05.2006 21:00 241.152 MPG4DECD.dll
09.05.2006 21:00 1.455.616 WMVENCOD.dll
09.05.2006 21:00 299.520 MP4SDECD.dll
09.05.2006 21:00 241.152 MP43DECD.dll
09.05.2006 21:00 636.928 WMVXENCD.dll
09.05.2006 21:00 546.816 wmpmde.dll
09.05.2006 21:00 382.976 MFPLAT.dll
09.05.2006 21:00 1.350.656 drmv2clt.dll
09.05.2006 20:59 513.536 wmdrmsdk.dll
09.05.2006 20:59 417.280 MSSCP.dll
09.05.2006 20:59 229.376 drmupgds.exe
09.05.2006 20:59 585.216 blackbox.dll
09.05.2006 20:58 52.224 WPDShServiceObj.dll
09.05.2006 20:58 13.824 wpdshextautoplay.exe
09.05.2006 20:58 103.424 PortableDeviceWiaCompat.dll
09.05.2006 20:58 670.208 wpd_ci.dll
09.05.2006 20:58 188.928 PortableDeviceWMDRM.dll
09.05.2006 20:58 345.600 PortableDeviceApi.dll
09.05.2006 20:58 101.376 PortableDeviceClassExtension.dll
09.05.2006 20:58 343.552 WPDSp.dll
09.05.2006 20:58 55.808 wpdmtpus.dll
09.05.2006 20:58 144.896 wpdmtp.dll
09.05.2006 20:58 35.840 wpdconns.dll
09.05.2006 20:58 168.960 PortableDeviceTypes.dll
09.05.2006 20:58 13.312 wpdtrace.dll
09.05.2006 20:57 11.264 ehETW.dll
09.05.2006 20:45 304.640 MSDelta.dll
09.05.2006 20:00 22.752 spupdsvc.exe
11.04.2006 14:30 93.752 WUDFCoinstaller.dll
11.04.2006 14:27 130.048 WudfHost.exe
11.04.2006 14:27 304.640 WUDFx.dll
11.04.2006 14:26 54.272 WudfSvc.dll
11.04.2006 14:26 158.208 WudfPlatform.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 956.416 msdtctm.dll
14.02.2006 21:34 11.759 LexFiles.ulf
09.02.2006 21:02 172.032 cncs32.dll
09.01.2006 15:12 348.200 FNTCACHE.DAT
05.01.2006 14:55 303 $winnt$.inf
05.01.2006 14:51 488 logonui.exe.manifest
05.01.2006 14:51 488 WindowsLogon.manifest
05.01.2006 14:51 749 sapi.cpl.manifest
05.01.2006 14:51 749 nwc.cpl.manifest
05.01.2006 14:51 749 cdplayer.exe.manifest
05.01.2006 14:51 749 ncpa.cpl.manifest
05.01.2006 14:51 749 wuaucpl.cpl.manifest
05.01.2006 14:50 21.740 emptyregdb.dat
05.01.2006 14:49 525 mapisvc.inf
04.01.2006 05:35 68.096 webclnt.dll




Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp

07.09.2006 21:08 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}309.html
07.09.2006 21:05 16.384 ~DF6670.tmp
07.09.2006 21:05 512 ~DF6660.tmp
07.09.2006 21:05 16.384 ~DF6654.tmp
07.09.2006 21:05 512 ~DF6644.tmp
07.09.2006 21:05 16.384 ~DF6638.tmp
07.09.2006 21:05 512 ~DF667C.tmp
07.09.2006 21:05 512 ~DF6628.tmp
07.09.2006 21:05 16.384 ~DF661C.tmp
07.09.2006 21:04 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}23209.html
07.09.2006 19:22 190.707 TWAIN.LOG
07.09.2006 19:20 156 Twunk001.MTX
07.09.2006 19:20 2 Twain001.Mtx
07.09.2006 19:18 0 Twunk002.MTX
07.09.2006 18:19 1.904 wmplog00.sqm
07.09.2006 16:37 16.384 ~DF299D.tmp
07.09.2006 16:37 512 ~DF21E4.tmp
07.09.2006 16:37 16.384 ~DF21D8.tmp
07.09.2006 14:57 16.384 ~DF7258.tmp
07.09.2006 14:57 16.384 ~DF7276.tmp
07.09.2006 14:57 16.384 ~DF723A.tmp
07.09.2006 14:57 16.384 ~DF71FB.tmp
07.09.2006 14:57 16.384 ~DF8FD0.tmp
07.09.2006 14:57 16.384 ~DF5497.tmp
24 Datei(en) 393.898 Bytes
0 Verzeichnis(se), 80.489.197.568 Bytes frei





Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

07.09.2006 21:05 431.671 setupapi.log
07.09.2006 19:23 1.053.081 WindowsUpdate.log
07.09.2006 19:23 833 Ulead32.ini
07.09.2006 14:53 6.104 ModemLog_Bluetooth DUN Modem.txt
07.09.2006 14:53 0 0.log
07.09.2006 14:53 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
07.09.2006 14:53 50 wiaservc.log
07.09.2006 14:53 159 wiadebug.log
07.09.2006 14:53 2.048 bootstat.dat
07.09.2006 14:52 32.552 SchedLgU.Txt
02.09.2006 19:38 202 NeroDigital.ini
02.09.2006 14:16 2.995 u3dedit3.INI
29.08.2006 17:09 69.670 wmsetup.log
28.08.2006 18:04 1.301 win.ini
25.08.2006 19:00 872 scummvm.ini
22.08.2006 14:26 945 videoimp.ini
22.08.2006 14:26 54.156 QTFont.qfn
19.08.2006 15:00 1.409 QTFont.for
13.08.2006 16:43 1.417 cncscore.ini
09.08.2006 16:28 101.560 iis6.log
09.08.2006 16:28 218.335 comsetup.log
09.08.2006 16:28 34.655 ocmsn.log
09.08.2006 16:28 1.355 imsins.log
09.08.2006 16:28 133.872 ntdtcsetup.log
09.08.2006 16:28 250.699 tsoc.log
09.08.2006 16:28 16.338 KB920214.log
09.08.2006 16:28 31.549 msgsocm.log
09.08.2006 16:28 306.079 ocgen.log
09.08.2006 16:28 657.578 FaxSetup.log
09.08.2006 16:27 1.355 imsins.BAK
09.08.2006 16:27 16.051 KB921883.log
09.08.2006 16:27 46.211 updspapi.log
09.08.2006 16:27 15.910 KB922616.log
09.08.2006 16:27 16.337 KB921398.log
09.08.2006 16:27 19.607 KB918899.log
09.08.2006 16:27 12.295 KB920670.log
09.08.2006 16:27 12.455 KB917422.log
09.08.2006 16:27 12.710 KB920683.log
08.08.2006 13:15 664 mamba.ini
05.08.2006 19:27 8 cdt3ms1.INI
05.08.2006 19:09 153 WW4LOAD.ini
05.08.2006 19:07 67 WW4_LOG_RECOVER.ini
25.07.2006 12:07 661 mplaynow.log
23.07.2006 14:52 1.999 Bibi1.txt
23.07.2006 14:47 19 BibiZa.ini
22.07.2006 17:20 1.264 eReg.dat
15.07.2006 10:33 13.459 KB917159.log
15.07.2006 10:32 14.026 KB914388.log
15.07.2006 10:32 12.244 KB916595.log
01.07.2006 20:52 210 LanShutDownServer.INI
28.06.2006 10:16 2.076 ACROREAD.INI
14.06.2006 18:48 15.907 KB918439.log
14.06.2006 18:48 16.265 KB917344.log
14.06.2006 18:48 16.041 KB917953.log
14.06.2006 18:48 16.017 KB911280.log
14.06.2006 18:48 19.407 KB916281.log
14.06.2006 18:47 13.517 KB914389.log
29.05.2006 19:52 23 BlendSettings.ini
27.05.2006 18:35 111.732 DirectX.log
22.05.2006 22:03 47.973 spupdsvc.log
22.05.2006 14:18 527 wmsetup10.log
22.05.2006 14:18 17.217 wmp11.log
22.05.2006 14:17 13.259 Wudf01000Inst.log
22.05.2006 14:16 19.854 WMFDist11.log
22.05.2006 14:16 1.036.423 setupapi.log.0.old
22.05.2006 14:16 316.640 WMSysPr9.prx
14.05.2006 23:10 1.073.303.552 MEMORY.DMP
12.05.2006 14:07 12.680 KB913580.log
05.05.2006 22:20 0 muveeapp.INI
26.04.2006 20:16 11.555 KB900485.log
24.04.2006 15:03 94.417 setupact.log
15.04.2006 11:57 15.321 KB908531.log
15.04.2006 11:57 14.492 KB911562.log
15.04.2006 11:56 20.859 KB912812.log
15.04.2006 11:56 11.469 KB911567.log
14.04.2006 20:49 19.231 KB911565.log
11.04.2006 03:30 0 WATCH.INI
24.02.2006 18:02 305 nsw.log
15.02.2006 13:32 10.983 KB911927.log
15.02.2006 13:32 8.852 KB911564.log
15.02.2006 13:31 10.732 KB913446.log
09.02.2006 21:08 121 gfscore.ini
09.02.2006 21:02 18 gfact.ini
07.02.2006 19:17 407 3dstate.log
07.02.2006 19:17 99 error.log
07.02.2006 19:15 31.361 Morfit_logo.jpg
07.02.2006 19:11 6.014 card3d.txt
26.01.2006 19:12 96 cdplayer.ini
23.01.2006 14:43 3.406 mozver.dat
16.01.2006 17:36 514 xpsp1hfm.log
16.01.2006 17:36 844 KB833987.log
11.01.2006 20:00 107.132 UninstallFirefox.exe
11.01.2006 13:55 10.346 KB908519.log
09.01.2006 15:15 12.042 KB891781.log
09.01.2006 15:11 50.620 KB899587.log
09.01.2006 15:11 52.421 KB896422.log
09.01.2006 15:11 27.426 KB885835.log
09.01.2006 15:11 26.439 KB885836.log
09.01.2006 15:11 27.006 KB885250.log
09.01.2006 15:10 38.572 KB901017.log
09.01.2006 15:10 49.352 KB899591.log
09.01.2006 15:10 39.906 KB896424.log
09.01.2006 15:10 49.649 KB893756.log
09.01.2006 15:10 25.915 KB873339.log
09.01.2006 15:10 25.986 KB888113.log
09.01.2006 15:10 39.703 KB887742.log
09.01.2006 15:10 46.063 KB896358.log
09.01.2006 15:10 32.453 KB910437.log
09.01.2006 15:10 45.825 KB905915.log
09.01.2006 15:10 51.672 KB902400.log
09.01.2006 15:09 38.582 KB890046.log
09.01.2006 15:09 49.885 KB893066.log
09.01.2006 15:09 33.346 KB905414.log
09.01.2006 15:09 33.523 KB901214.log
09.01.2006 15:09 17.099 KB888302.log
09.01.2006 15:09 32.579 KB900725.log
09.01.2006 15:09 16.110 KB912919.log
09.01.2006 15:09 10.920 KB886185.log
09.01.2006 15:09 7.449 KB885884.log
09.01.2006 15:09 26.023 KB904706.log
09.01.2006 15:09 27.236 KB905749.log
09.01.2006 15:08 30.301 KB896428.log
09.01.2006 15:08 28.823 KB894391.log
09.01.2006 15:08 28.674 KB890859.log
05.01.2006 17:02 32.197 KB896423.log
05.01.2006 16:10 18.977 KB893803v2.log
05.01.2006 15:36 4 msoffice.ini
05.01.2006 14:57 852.432 setuplog.txt
05.01.2006 14:51 2.858 OEWABLog.txt
05.01.2006 14:51 4.335 ODBCINST.INI
05.01.2006 14:51 307 setuperr.log
05.01.2006 14:51 749 WindowsShell.Manifest
05.01.2006 14:50 628 DtcInstall.log
05.01.2006 14:50 7.596 sessmgr.setup.log
05.01.2006 14:14 280 pnplog.txt
05.01.2006 13:50 231 system.ini
05.01.2006 13:50 2.548 regopt.log





Datentr„ger in Laufwerk C: ist boot
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

07.09.2006 21:10 0 sys.txt
07.09.2006 21:09 13.751 system.txt
07.09.2006 21:09 1.511 systemtemp.txt
07.09.2006 21:07 105.661 system32.txt
07.09.2006 19:20 279 default.set
07.09.2006 14:52 1.073.270.784 hiberfil.sys
07.09.2006 14:52 1.610.612.736 pagefile.sys
07.09.2006 12:42 24.554 lxcf.log
16.08.2006 16:25 1.440.054 screenshot.bmp
05.07.2006 19:51 31.564 SOUNDDMP.RAW
05.07.2006 19:50 274.047 Final Fantasy II (U) (V1.0) [T+Ger90%_TranX].zst
02.07.2006 11:29 66.048 Final Fantasy II (U) (V1.spc
22.04.2006 11:44 0 MSDOS.SYS
22.04.2006 11:44 0 IO.SYS
14.02.2006 21:22 265 LXCFINST.csv
14.02.2006 21:22 240 CDFE.log
05.01.2006 14:49 211 boot.ini





4.

09/07/06 21:18:08 [Info]: BlackLight Engine 1.0.46 initialized
09/07/06 21:18:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/07/06 21:18:08 [Note]: 7019 4
09/07/06 21:18:08 [Note]: 7005 0
09/07/06 21:18:19 [Note]: 7006 0
09/07/06 21:18:20 [Note]: 7011 2132
09/07/06 21:18:20 [Note]: 7026 0
09/07/06 21:18:20 [Note]: 7026 0
09/07/06 21:18:53 [Note]: FSRAW library version 1.7.1019
09/07/06 21:22:10 [Note]: 7007 0







sorry für späte antwort hoffe du wirst schlau draus ;)
Seitenanfang Seitenende
07.09.2006, 21:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Terementor

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A5385B6-6442-4F02-B7A6-5CBFEE154A01}: NameServer = 85.255.114.11,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.114.11,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B760CD6-9AD3-4E73-9316-5710BB1CD6D1}: NameServer = 85.255.114.11,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCCFA1D-5690-4867-A64E-DDE9CDCFB5F7}: NameServer = 85.255.114.11,85.255.112.73
PC neustarten

Internetverbindung manuell mit den Zugangsdaten des Providers hergestellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken
85.255.114.11,85.255.112.73 muss raus !!!!

F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
+
das neue Log vom Hijackthis


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2006, 22:26
Member

Themenstarter

Beiträge: 130
#5 Internetverbindung manuell mit den Zugangsdaten des Providers hergestellen.



was genau meinst du damit?
Seitenanfang Seitenende
08.09.2006, 15:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wen du die zugangsdaten von deinem Provider nicht kennst, dann

Zitat

Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken
85.255.114.11,85.255.112.73 muss raus !!!!
so sllte es automatisch hergestellt werden, im moment geht die verbindung zu einem Server in der Ukraine....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.09.2006, 16:05
Member

Themenstarter

Beiträge: 130
#7 mein freund meint unter seinere lan verbindung hätt automatisch beziehn gestadnen..



Scanning Report
Friday, September 08, 2006 18:01:45 - 18:56:49
Computer name: ROITZHEIM1-
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\
________________________________________
Result: 10 malware found
Possible Browser Hijack attempt (spyware)
• System (Disinfected)
Tracking Cookie (spyware)
• System (Disinfected)
• System
• System
• System
• System
• System
• System
W32/Agent.HXN (virus)
• C:\DOKUMENTE UND EINSTELLUNGEN\ROITZHEIM\DESKTOP\SPIELE\MINISPIELE\WORM WARS IV\WORM WARS IV.EXE
W32/DLoader.BUQ (virus)
• C:\DOKUMENTE UND EINSTELLUNGEN\ROITZHEIM\EIGENE DATEIEN\ICQ LITE\329532205\MICHAELN_195597078\HIJACKTHIS\BACKUPS\BACKUP-20060907-215804-991.DLL
________________________________________
Statistics
Scanned:
• Files: 28308
• System: 5534
• Not scanned: 8
Actions:
• Disinfected: 2
• Renamed: 0
• Deleted: 0
• None: 8
• Submitted: 0
Files not scanned:
• C:\HIBERFIL.SYS
• C:\PAGEFILE.SYS
• C:\WINDOWS\SYSTEM32\DRIVERS\DTSCSI.SYS
• C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
• C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
• C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{3321FC20-0D30-45E1-A318-AD3CEA7B87A4}.BIN
• C:\DOKUMENTE UND EINSTELLUNGEN\ROITZHEIM\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS DEFENDER\FILETRACKER\{7AB43A98-A39E-44B5-BD63-527C3F9C13F7}
• C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
________________________________________
Options
Scanning engines:
• F-Secure AVP: 6.0.171, 2006-09-08
• F-Secure Libra: 2.4.1, 2006-09-08
• F-Secure Orion: 1.2.37, 2006-09-08
• F-Secure Blacklight: 1.0.31, 0000-00-00
• F-Secure Pegasus: 1.19.0, 2006-08-08
• F-Secure Draco: 1.0.35, 2006-08-28
Scanning options:
• Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
• Use Advanced heuristics


Logfile of HijackThis v1.99.1
Scan saved at 19:05:41, on 08.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPROV.EXE
C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPRV10.EXE
C:\Dokumente und Einstellungen\Roitzheim\Desktop\Spiele\Hamachi\hamachi.exe
C:\WINDOWS\system32\lxcfcoms.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Programme\Valve\hl.exe
C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aol.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BitTorrent.lnk = C:\Programme\BitTorrent\bittorrent.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: p6übersicht.lnk = C:\Programme\phase6\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136469868593
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)



Kaspersky:


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\LOGFILES\AVSCAN-20060908-195351-DB67D8D8.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\WDLog-06202006-131741.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies\030625\0237\0192\values Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\MpCmdRun-17-421CFC91-A93E-42AB-A35C-F06F127FCC44.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\MpCmdRun.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*m\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{0EB6EB2D-9CEA-4957-8F30-345DA67E36A0} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DF78CE.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DF78E0.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFB479.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBA38.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBA4F.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBA60.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBA7D.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBAA7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBAC9.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBADA.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\~DFBB02.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Roitzheim\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Roitzheim\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Roitzheim\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AGENT_LOG1.txt Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BINARY\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP286\A0043248.exe Infizierte Objekte: Trojan.Win32.DNSChanger.as übersprungen
C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP302\A0045764.exe Infizierte Objekte: Trojan.Win32.DNSChanger.as übersprungen
C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP310\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\asfiles.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd0109.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen


Panda


Incident Status Location

Adware:adware/cws Not disinfected Windows Registry
Dialer:dialer.ags Not disinfected hkey_current_user\software\Montorgueil
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\cookies.txt[.apmebf.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\cookies.txt[.adtech.de/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\cookies.txt[.2o7.net/]
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\*\Cookies\*@2o7[1].txt
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\*\Cookies\*@ad.yieldmanager[1].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\*\Cookies\*@adtech[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\*\Cookies\*@atwola[1].txt
Dieser Beitrag wurde am 08.09.2006 um 23:24 Uhr von Terementor editiert.
Seitenanfang Seitenende
08.09.2006, 22:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
gehe in die registry
Start - Ausfuehren - regedit

hkey_current_user\software\Montorgueil <--loeschen

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

dann sollte alles wieder o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.09.2006, 23:20
Member

Themenstarter

Beiträge: 130
#9 Also dann mal wieder ein großes THX ;) von mir und Chris ;)

Noch ne frage zu diesem cookie müll, der von panda gefunden wurde... Was ich dazu gelesen hab ist das manche webseiten da rein schreiben und das auch wieder von machen webseiten ausgelesen kann um bissl den besitzer dieser tollen cookies auszuspionieren, was ich net toll finde^^

wäre es sinnvoll/lohnenswert den kram irgendwie zu entfernen?
Seitenanfang Seitenende
08.09.2006, 23:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Cookies im IE-Browser sperren!
Rechtsklick auf das IE-Symbol => Eigenschaften => Reiter "Datenschutz" = "Alle Cookies sperren" und nur noch Cookies für absolut vertrauenswürdige Sites zulassen (kannst Du unter "Einstellungen" im Datenschutz-Fenster definieren)

ClearProg - man kann auch die cookies loeschen:
http://www.clearprog.de/downloads.php
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.09.2006, 09:34
Member

Themenstarter

Beiträge: 130
#11 danke fürs Programm. Das mitm IE hab ich gemacht stand bei mir zwar schon auf hoch aber jetzt hab ich vollständig gesperrt^^
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: