Ich werde Pipas.A nicht los! |
||
---|---|---|
#0
| ||
09.09.2006, 15:03
...neu hier
Beiträge: 3 |
||
|
||
09.09.2006, 16:31
Ehrenmitglied
Beiträge: 29434 |
#2
Nail75
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\misr.exe C:\WINNT\system32\huffyuv.dll poste die Reporte -------------------------------------------------------------------- 0. poste das log http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei 1. scanne und poste den scanreport von option 1 und 2 http://virus-protect.org/artikel/tools/smitfrautfix.html 2. poste folgendes log http://virus-protect.org/artikel/tools/fixwareout.html --------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O1 - Hosts: 69.64.35.177 auto.search.msn.comPC neustarten ** Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken 85.255.113.90 85.255.112.5 muss raus !!!!!!!! ** F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 17:18
...neu hier
Themenstarter Beiträge: 3 |
#3
Misr.exe ist der Überrest eines alten Hijack-Versuches, den ich damals selbst entfernt hatte. Die Datei existiert nicht mehr und das Problem auch nicht Bezüglich der anderen Datei:
Complete scanning result of "huffyuv.dll", received in VirusTotal at 09.09.2006, 17:04:33 (CET). Antivirus Version Update Result AntiVir 7.1.1.16 09.09.2006 no virus found Authentium 4.93.8 09.09.2006 no virus found Avast 4.7.844.0 09.08.2006 no virus found AVG 386 09.08.2006 no virus found BitDefender 7.2 09.09.2006 no virus found CAT-QuickHeal 8.00 09.09.2006 no virus found ClamAV devel-20060426 09.09.2006 no virus found DrWeb 4.33 09.09.2006 no virus found eTrust-InoculateIT 23.72.120 09.08.2006 no virus found eTrust-Vet 30.3.3070 09.09.2006 no virus found Ewido 4.0 09.09.2006 no virus found Fortinet 2.77.0.0 09.09.2006 no virus found F-Prot 3.16f 09.09.2006 no virus found F-Prot4 4.2.1.29 09.08.2006 no virus found Ikarus 0.2.65.0 09.08.2006 no virus found Kaspersky 4.0.2.24 09.09.2006 no virus found McAfee 4848 09.08.2006 no virus found Microsoft 1.1560 09.09.2006 no virus found NOD32v2 1.1746 09.08.2006 no virus found Norman 5.90.23 09.08.2006 no virus found Panda 9.0.0.4 09.09.2006 no virus found Sophos 4.09.0 09.09.2006 no virus found Symantec 8.0 09.09.2006 no virus found TheHacker 5.9.8.208 09.08.2006 no virus found UNA 1.83 09.08.2006 no virus found VBA32 3.11.1 09.09.2006 no virus found VirusBuster 4.3.7:9 09.09.2006 no virus found Aditional Information File size: 39936 bytes MD5: 335a224416ba985eafa71d15c004f702 SHA1: 89973a8885ba7e2c6cf1ca2bef1742a7a1168519 0: Blacklight: 09/09/06 16:40:43 [Info]: BlackLight Engine 1.0.46 initialized 09/09/06 16:40:43 [Info]: OS: 5.0 build 2195 (Service Pack 4) 09/09/06 16:40:43 [Note]: 7019 4 09/09/06 16:40:43 [Note]: 7005 0 09/09/06 16:40:58 [Note]: 7006 0 09/09/06 16:40:58 [Note]: 7011 1004 09/09/06 16:40:58 [Note]: 7026 0 09/09/06 16:40:58 [Note]: 7026 0 09/09/06 16:41:11 [Note]: FSRAW library version 1.7.1019 09/09/06 16:44:35 [Info]: Hidden file: c:\WINNT\system32\csjcw.exe 09/09/06 16:44:35 [Note]: 7002 32 09/09/06 16:44:35 [Note]: 7003 1 09/09/06 16:44:35 [Note]: 10002 1 09/09/06 16:44:36 [Info]: Hidden file: c:\WINNT\system32\dmvpo.exe 09/09/06 16:44:36 [Note]: 7002 32 09/09/06 16:44:36 [Note]: 7003 1 09/09/06 16:44:36 [Note]: 10002 1 09/09/06 16:45:47 [Note]: 2000 1006 09/09/06 16:46:27 [Note]: 7007 0 1.: SmitFraudFix v2.84: Option1: Scan done at 16:47:12,01, Sa 09.09.2006 Run from C:\Dokumente und Einstellungen\Daniel Nagel\Desktop\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32 C:\WINNT\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Daniel Nagel\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DANIEL~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\HQ Codec\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Option2: SmitFraudFix v2.84 Scan done at 16:54:58,90, Sa 09.09.2006 Run from C:\Dokumente und Einstellungen\Daniel Nagel\Desktop\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINNT\system32\1024\ Deleted C:\Programme\HQ Codec\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End 3.: Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}39178F9111CF-CB49-2E94-EA52-9742F807{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\opvmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap ... Random Runs removed from HKLM "dmvpo.exe"=- ... PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Searching by size/names... »»»»» Search five digit cs, dm and jb files. This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINNT\SYSTEM32\CSJCW.EXE 51.781 2006-09-07 C:\WINNT\SYSTEM32\DMVPO.EXE 62.029 2003-06-19 Other suspects. Directory of C:\WINNT\system32 »»»»» Misc files. »»»»» Checking for older varients covered by the Rem3 tool. Rest folgt! |
|
|
||
09.09.2006, 17:54
Ehrenmitglied
Beiträge: 29434 |
#4
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (
Dann lass Blacklight den Rechner neu starten. scan --> next none auf rename ändern und arbeite alles weitere ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 21:45
...neu hier
Themenstarter Beiträge: 3 |
#5
Super! Mehr war nicht. Vielen Dank, dass Du mir geholfen hast, den Rechner wieder zu säubern. Inzwischen solltest Du auch schon das kleine Paypal-Dankeschön erhalten haben.
Alles Gute! Daniel |
|
|
||
das beliebte Pipas.A Problem hat diesmal den PC meines Vaters erwischt, der leider immer noch den IE verwendet. Jetzt hat sich Pipas.A eingenistet und manipuliert die Suchergebnisse von Google. Ich bitte um Hilfe, damit ich den Plagegeist wieder loswerde. Hier sind die gewünschten Logs:
-----------------------
1. HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 14:20:35, on 09.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AIM\aim.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.la-pagina.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hp64B4.tmp (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Oreb] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\misr.exe
O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\RarSFX1\fast.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase3401.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122969780453
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37390.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3CE11F0-258B-4189-AE2B-DB85C11460AF}: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
---------------------
2. Clean Up: Wie angegeben erledigt.
---------------------
3. ComboFix:
Daniel - Sa 09.09.2006 14:41:14,18
ComboFix 06.09.07 - Running from: E:\Admin
Microsoft Windows 2000 [Version 5.00.2195]
((((((((((((((((((((((((((((((( Files Created from 2006-08-09 to 2006-09-09 ))))))))))))))))))))))))))))))))))
2006-08-28 20:09 774,144 --a------ C:\WINNT\system32\vsfilter.dll
2006-08-28 20:09 77,824 --a------ C:\WINNT\system32\vorbisfile.dll
2006-08-28 20:09 75,264 --a------ C:\WINNT\system32\MACDec.dll
2006-08-28 20:09 679,936 --a------ C:\WINNT\system32\xvidcore.dll
2006-08-28 20:09 61,440 --a------ C:\WINNT\system32\ogg.dll
2006-08-28 20:09 446,464 --a------ C:\WINNT\system32\vp31vfw.dll
2006-08-28 20:09 438,272 --a------ C:\WINNT\system32\vp6vfw.dll
2006-08-28 20:09 421,888 --a------ C:\WINNT\system32\OpenQuicktimeLib.dll
2006-08-28 20:09 39,936 --a------ C:\WINNT\system32\huffyuv.dll
2006-08-28 20:09 368,640 --a------ C:\WINNT\system32\vobsub.dll
2006-08-28 20:09 286,720 --a------ C:\WINNT\system32\3ivxVfWCodec.dll
2006-08-28 20:09 245,408 --a------ C:\WINNT\system32\unicows.dll
2006-08-28 20:09 237,568 --a------ C:\WINNT\system32\OggDS.dll
2006-08-28 20:09 19,968 --a------ C:\WINNT\system32\cpuinf32.dll
2006-08-28 20:09 157,696 --a------ C:\WINNT\system32\unrar.dll
2006-08-28 20:09 155,648 --a------ C:\WINNT\system32\xvidvfw.dll
2006-08-28 20:09 1,415,680 --a------ C:\WINNT\system32\WMV9VCM.dll
2006-08-28 20:09 1,163,264 --a------ C:\WINNT\system32\vorbis.dll
2006-08-28 20:09 1,040,384 --a------ C:\WINNT\system32\vorbisenc.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-09-09 14:39 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-09 14:35 -------- d-a------ C:\Programme\Sophos SWEEP for NT
2006-09-09 14:17 -------- d-------- C:\Programme\CleanUp!
2006-09-09 11:33 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Azureus
2006-09-08 20:14 -------- d-------- C:\Programme\Lavasoft
2006-09-08 20:14 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Lavasoft
2006-09-08 15:21 -------- d-------- C:\Programme\Google
2006-09-07 20:43 -------- d-------- C:\Programme\HQ Codec
2006-08-28 20:12 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Media Player Classic
2006-08-28 20:09 -------- d-------- C:\Programme\K-Lite Codec Pack
2006-08-28 18:36 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\vlc
2006-08-28 18:33 -------- d-------- C:\Programme\VideoLAN
2006-08-27 09:49 -------- d-------- C:\Programme\ICQLite
2006-08-23 13:24 -------- d-------- C:\Programme\Azureus
2006-08-23 09:47 -------- d-------- C:\Programme\Jap
2006-08-22 10:59 -------- d-------- C:\Programme\ElsterFormular2005
2006-08-05 21:44 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-07-24 18:18 847632 --a------ C:\WINNT\system32\mmcndmgr.dll
2006-07-24 18:14 617232 --a------ C:\WINNT\system32\mmc.exe
2006-07-21 17:08 72704 --a------ C:\WINNT\system32\hlink.dll
2006-07-18 23:38 -------- d-------- C:\Programme\SPSS
2006-07-18 00:26 -------- d-------- C:\Programme\eMule
2006-07-12 23:48 -------- d-------- C:\Programme\Winamp
2006-07-11 00:12 -------- d-------- C:\Programme\eMule.de
2006-07-06 13:45 96528 --a------ C:\WINNT\system32\dnsrslvr.dll
2006-06-21 08:52 54544 --a------ C:\WINNT\system32\mpr.dll
2006-06-16 20:17 7242 --a------ C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SmarThruOptions.xml
2006-06-16 10:35 1693120 --a------ C:\WINNT\system32\NTOSKRNL.EXE
2006-06-16 10:34 1715776 --a------ C:\WINNT\system32\NTKRNLPA.EXE
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ViewMgr"="C:\\Programme\\Viewpoint\\Viewpoint Manager\\ViewMgr.exe"
"Matrox Powerdesk"="C:\\WINNT\\system32\\PDesk\\PDesk.exe /Autolaunch"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"WHITNEY_S2P"="C:\\Programme\\Samsung\\Samsung SCX-4x21 Series\\PSU\\Scan2pc.exe"
"WHITNEY_S2P"="C:\\Programme\\Samsung\\Samsung SCX-4x21 Series\\PSU\\Scan2pc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"AIM"="C:\\Programme\\AIM\\aim.exe -cnetwait.odl"
"Oreb"="C:\\Dokumente und Einstellungen\\Daniel \\Anwendungsdaten\\misr.exe"
"BD"="\"C:\\DOKUME~1\\DANIEL~1\\LOKALE~1\\Temp\\RarSFX1\\fast.exe\""
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"wininet.dll"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
Completion time: Sat 2006-09-09 14:43:54.09
ComboFix.txt
ComboFix2.txt
----------------------
4. Datafind.bat:
Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: 5466-C717
Verzeichnis von C:\WINNT\system32
09.09.2006 14:37 334 vsconfig.xml
09.09.2006 14:00 16.384 Perflib_Perfdata_34c.dat
07.09.2006 21:15 2.608 d3d9caps.dat
09.08.2006 21:03 8.325.544 MRT.exe
04.08.2006 20:06 463.360 URLMON.DLL
24.07.2006 18:18 847.632 mmcndmgr.dll
24.07.2006 18:14 617.232 mmc.exe
21.07.2006 17:08 72.704 hlink.dll
14.07.2006 15:54 309.520 NETAPI32.DLL
14.07.2006 07:02 519.168 hhctrl.ocx
13.07.2006 09:09 2.387.216 SHELL32.DLL
06.07.2006 13:45 7.440 rasadhlp.dll
06.07.2006 13:45 96.528 dnsrslvr.dll
06.07.2006 13:45 137.488 dnsapi.dll
30.06.2006 10:51 2.703.872 MSHTML.DLL
23.06.2006 13:27 582.144 WININET.DLL
Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: 5466-C717
Verzeichnis von C:\WINNT
09.09.2006 14:35 1.268.399 WindowsUpdate.log
09.09.2006 14:32 643.680 ShellIconCache
09.09.2006 13:18 229.114 ntbtlog.txt
09.09.2006 13:16 32.594 SchedLgU.Txt
07.09.2006 16:42 54.156 QTFont.qfn
06.09.2006 11:33 116 NeroDigital.ini
03.09.2006 15:18 223.250 wmsetup.log
31.08.2006 19:03 18.941 mozver.dat
25.08.2006 08:11 10.839 KB918899-IE6SP1-20060725.123917.log
25.08.2006 08:11 76.079 updspapi.log
22.08.2006 11:19 3.201 tm.ini
22.08.2006 10:57 124 tdf.dii
14.08.2006 15:23 1.409 QTFont.for
11.08.2006 22:05 732.539 iis5.log
11.08.2006 22:05 311.892 comsetup.log
11.08.2006 22:05 1.391 imsins.log
11.08.2006 22:05 23.061 KB922616.log
11.08.2006 22:05 291.962 ocgen.log
11.08.2006 22:05 22.585 ockodak.log
11.08.2006 22:04 1.410 imsins.BAK
11.08.2006 22:04 23.381 KB921398.log
11.08.2006 22:04 23.108 KB920958.log
11.08.2006 22:04 19.418 KB920683.log
11.08.2006 22:03 17.492 KB920670.log
11.08.2006 22:03 17.763 KB917422.log
11.08.2006 22:03 8.082 KB917008.log
11.08.2006 22:03 283 setup.rpt
11.08.2006 22:03 957 setup.inf
11.08.2006 22:02 13.584 KB921883.log
30.07.2006 13:44 12.438 KB917537.log
11.07.2006 23:02 15.778 KB917159.log
11.07.2006 23:02 16.197 KB914388.log
24.06.2006 16:17 3.807 spupdsvc.log
24.06.2006 16:12 18.005 KB917953.log
24.06.2006 16:12 9.208 KB916281-IE6SP1-20060526.162249.log
24.06.2006 16:11 15.488 KB917736.log
24.06.2006 16:11 14.883 KB911280.log
24.06.2006 16:11 14.600 KB914389.log
24.06.2006 16:10 4.769 KB917734.log
16.06.2006 14:23 416.608 setupapi.log
16.06.2006 14:23 162 setup.log
16.06.2006 14:22 111 Readiris.ini
16.06.2006 14:21 90 scnsetup.log
Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: 5466-C717
Verzeichnis von C:\
09.09.2006 15:02 0 sys.txt
09.09.2006 15:00 8.535 system.txt
09.09.2006 15:00 292 systemtemp.txt
09.09.2006 15:00 98.466 system32.txt
09.09.2006 14:43 8.193 ComboFix.txt
09.09.2006 14:34 805.306.368 pagefile.sys
09.09.2006 14:25 8.178 ComboFix2.txt
----------------------
5. Manipulation der Ergebnisse des Google-Toolbars und Google selbst.
Spybot findet folgenden Key, der aber nicht dauerhaft entfernt werden kann.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins
Vielen Dank schon einmal im Voraus!