Home » Spyware & Browser Hijacker Support Forum » IE Tasks, Pop-Ups und nicht löschbare *.exe Dateien » Themenansicht

IE Tasks, Pop-Ups und nicht löschbare *.exe Dateien
#0
12.09.2006, 16:51
Maackuus
...neu hier

Beiträge: 3
#1 Moin!

Ich habe einige Probleme! Und ich bin mir sicher, ihr könnt mir helfen! ;)

Also, mein erstes Problem ist, dass ich ständig, sobald ich den Rechner starte 2 IE Tasks laufen habe! Sind im Task-Manager so drin (iexplorer.exe)! Und wenn ich sie über diesen schließe, starten die sich danach automatisch wieder neu!
Was ich daran überhaupt nicht verstehen kann ist, dass ich den IE sowieso net benutze, sondern den Firefox und durch meine Firewall wird der IE vollkommen geblockt! Aber trotzdem habe ich diese Tasks laufen!

Mein zweites Problem ist, dass ich, wenn ich den Firefox öffne, ein Pop-Up bekomme, weiter aber keins! Also, nur wenn ich den Browser starte! Und dieses Pop-Up trägt das IE Icon! Ich weiß net, ob das relevant ist, aber mir ist das mal aufgefallen! Woran könnte das liegen?

So, und mein drittes (und letztes) Problem, ich hab im Ordner "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\longmapiremotetrust" Dateien drinne, die ich nicht löschen kann! Zur Zeit iat da die Datei "AIMLIVE.EXE" drin! Ich hatte bis vor kurzem dort noch mehr Dateien drin, die habe ich aber weg bekommen (über abgesicherten Modus)! Meine Frage jetzt dazu, ob ich das umgehen kann, dass sich dort immer wieder neue ausführbare Dateien bilden, oder ob ich damit leben muss (was ich nicht will), dass immer übern abges. Modus zu löschen? Und was kann dafür verantwortlich sein, dass sich da sowas bildet! Es muss ja den gleichen Ursprung haben, der Order, in dem die Datei ist, nennt sich ja gleich, den hab ich beim letzten mal mit gelöscht!

So, das wars schon, ich hoffe, ihr könnt mir helfen!!! ;)

Marcus
Seitenanfang Seitenende
12.09.2006, 17:38
Terementor
Member

Beiträge: 130
#2 gehe dies schonmal durch und poste die logs hier:

http://board.protecus.de/t23187.htm
Seitenanfang Seitenende
13.09.2006, 02:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 das sieht nach Swizzor-Trojaner aus, poste zusaetzlich dieses log
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2006, 09:14
Maackuus
...neu hier

Themenstarter

Beiträge: 3
#4 Ok, ich hoffe, ich hab jetzt alles richtig gemacht!


Das erste Log-File von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 09:03:04, on 14.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Alle\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Aboutping] C:\DOKUME~1\Alle\ANWEND~1\ERRORB~1\FindClock.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140980112125
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



So, dann das Log von Combofix:

Alle - 06-09-14 9:04:03,37 Service Pack 2
ComboFix 06.09.14 - Running from: C:\Dokumente und Einstellungen\Alle\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-08-14 to 2006-09-14 ))))))))))))))))))))))))))))))))))


2006-09-12 17:09 2,321,408 --a------ C:\WINDOWS\system32\TUKernel.exe
2006-09-05 12:28 94,208 --a------ C:\WINDOWS\system32\LXBKCUR.DLL
2006-09-05 12:28 86,016 --a------ C:\WINDOWS\system32\LXBKIH.EXE
2006-09-05 12:28 77,824 --a------ C:\WINDOWS\system32\LXBKLCNP.DLL
2006-09-05 12:28 73,728 --a------ C:\WINDOWS\system32\lxbkpwr.dll
2006-09-05 12:28 69,632 --a------ C:\WINDOWS\system32\LXBKCU.DLL
2006-09-05 12:28 544,768 --a------ C:\WINDOWS\system32\LXBKLSNT.EXE
2006-09-05 12:28 40,960 --a------ C:\WINDOWS\system32\lxbkvs.dll
2006-09-05 12:28 40,960 --a------ C:\WINDOWS\system32\INSTMON.EXE
2006-09-05 12:28 303,104 --a------ C:\WINDOWS\system32\LEXBCES.EXE
2006-09-05 12:28 286,720 --a------ C:\WINDOWS\system32\LXBKPMNT.DLL
2006-09-05 12:28 286,720 --a------ C:\WINDOWS\system32\lxbkcomm.dll
2006-09-05 12:28 217,088 --a------ C:\WINDOWS\system32\LXBKLCNT.DLL
2006-09-05 12:28 201,216 --a------ C:\WINDOWS\system32\LEXP2P32.DLL
2006-09-05 12:28 196,096 --a------ C:\WINDOWS\system32\LEX2KUSB.DLL
2006-09-05 12:28 192,512 --a------ C:\WINDOWS\system32\LEXLMPM.DLL
2006-09-05 12:28 174,592 --a------ C:\WINDOWS\system32\LEXPPS.EXE
2006-09-05 12:28 155,648 --a------ C:\WINDOWS\system32\LEXPING.EXE
2006-09-05 12:28 147,456 --a------ C:\WINDOWS\system32\LEXBCE.DLL
2006-09-05 12:28 126,976 --a------ C:\WINDOWS\system32\LXBKCFG.EXE
2006-09-05 12:27 983,101 --a------ C:\WINDOWS\system32\LXBKGF.DLL
2006-09-05 12:27 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2006-09-05 12:27 69,632 --a------ C:\WINDOWS\system32\lxbkscin.dll
2006-09-05 12:27 57,344 --a------ C:\WINDOWS\system32\lxbkcinf.dll
2006-09-05 12:27 49,152 --a------ C:\WINDOWS\system32\lxbkcoin.dll
2006-09-05 12:27 458,752 --a------ C:\WINDOWS\system32\LXBKJSWR.DLL
2006-09-05 12:27 352,256 --a------ C:\WINDOWS\system32\LXBKUTIL.DLL
2006-09-05 12:27 299,008 --a------ C:\WINDOWS\unin0407.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-14 09:00 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-13 22:28 -------- d-------- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\teamspeak2
2006-09-13 22:28 -------- d-------- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Skype
2006-09-13 17:55 -------- d-------- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Adobe
2006-09-12 14:17 -------- d-------- C:\Programme\SCHLECKER Foto-Digital-Service
2006-09-10 20:00 -------- d-------- C:\Programme\errorbarbbyte
2006-09-10 20:00 -------- d-------- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\itchintraslow
2006-09-10 20:00 -------- d-------- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\errorbarbbyte
2006-09-10 19:39 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-10 19:36 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-10 00:27 -------- d-------- C:\Programme\SpeedFan
2006-09-08 15:00 -------- d-------- C:\Programme\Lexmark X1100 Series
2006-09-05 15:50 -------- d-------- C:\Programme\Hewlett-Packard
2006-08-23 11:31 -------- d---s---- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Microsoft
2006-08-23 11:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Screaming Bee
2006-08-23 11:29 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-23 11:29 -------- d-------- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Screaming Bee
2006-08-23 11:28 -------- d-------- C:\Programme\Screaming Bee
2006-08-23 10:35 -------- d-------- C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Mp3tag
2006-08-23 10:30 -------- d-------- C:\Programme\Mp3tag
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-13 09:54 -------- d-------- C:\Programme\Lavalys
2006-08-12 09:16 -------- d-------- C:\Programme\Internet Explorer
2006-08-08 16:19 -------- d-------- C:\Programme\Teamspeak2_RC2 server
2006-08-06 21:11 -------- d-------- C:\Programme\OPAN
2006-08-03 11:19 -------- d-------- C:\Programme\Yahoo!
2006-07-29 09:42 -------- d-------- C:\Programme\CDex_170b2
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-09 13:42 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-07-05 10:19 2829 --a------ C:\WINDOWS\War3Unin.pif
2006-07-05 10:19 139264 --a------ C:\WINDOWS\War3Unin.exe
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll
2006-06-17 20:19 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"Aboutping"="C:\\DOKUME~1\\Alle\\ANWEND~1\\ERRORB~1\\FindClock.exe"
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2006\\MemOptimizer.exe\" autostart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"C-Media Mixer"="Mixer.exe /startup"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb08.exe"
"DeviceDiscovery"="C:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpotdd01.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033 -noicon"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e0,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DVDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DVDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\HP DVD\\Umbrella\\DVDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AA9795B991980CE5.job

Completion time: 14.09.2006 9:06:10.65
ComboFix.txt


So, das wären die, dann noch die 4 Logs von datfind:

Datentr„ger in Laufwerk C: ist Daten
Volumeseriennummer: 5004-687D

Verzeichnis von C:\WINDOWS\system32

14.09.2006 08:59 2.206 wpa.dbl
14.09.2006 08:59 54.112 vsconfig.xml
14.09.2006 08:58 50.183 nvapps.xml
12.09.2006 17:09 2.321.408 TUKernel.exe
11.09.2006 19:37 8.960.936 MRT.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
13.08.2006 10:38 45 initdebug.nfo
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
27.07.2006 09:25 4.212 zllictbl.dat
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
15.07.2006 20:42 380.350 perfh009.dat
15.07.2006 20:42 391.000 perfh007.dat
15.07.2006 20:42 52.764 perfc009.dat
15.07.2006 20:42 63.580 perfc007.dat
15.07.2006 20:42 897.954 PerfStringBackup.INI
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
09.07.2006 13:42 42.920 vsutil_loc0407.dll
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 83.960 vsdata.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
20.06.2006 23:32 796.584 libeay32_0.9.6l.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
17.06.2006 20:19 57.384 avsda.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll


Datentr„ger in Laufwerk C: ist Daten
Volumeseriennummer: 5004-687D

Verzeichnis von C:\DOKUME~1\Alle\LOKALE~1\Temp

14.09.2006 08:58 16.384 Perflib_Perfdata_1cc.dat
14.09.2006 08:58 0 hpotdd015.log
2 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 12.641.378.304 Bytes frei


Datentr„ger in Laufwerk C: ist Daten
Volumeseriennummer: 5004-687D

Verzeichnis von C:\WINDOWS

14.09.2006 08:59 0 0.log
14.09.2006 08:58 2.095.451 WindowsUpdate.log
14.09.2006 08:58 159 wiadebug.log
14.09.2006 08:58 50 wiaservc.log
14.09.2006 08:58 2.048 bootstat.dat
14.09.2006 08:58 608 icssys.log
14.09.2006 00:53 32.620 SchedLgU.Txt
14.09.2006 00:47 253.978 wmsetup.log
13.09.2006 11:25 278 lexstat.ini
13.09.2006 09:54 155 winamp.ini
13.09.2006 01:49 170.466 comsetup.log
13.09.2006 01:49 72.232 iis6.log
13.09.2006 01:49 105.363 ntdtcsetup.log
13.09.2006 01:49 27.861 ocmsn.log
13.09.2006 01:49 193.984 tsoc.log
13.09.2006 01:49 1.374 imsins.log
13.09.2006 01:49 12.201 KB920685.log
13.09.2006 01:49 271.508 ocgen.log
13.09.2006 01:49 25.124 msgsocm.log
13.09.2006 01:49 476.040 FaxSetup.log
13.09.2006 01:49 220.630 setupapi.log
13.09.2006 01:49 1.374 imsins.BAK
13.09.2006 01:49 13.842 KB920872.log
13.09.2006 01:49 12.349 KB919007.log
13.09.2006 01:49 8.303 KB922582.log
13.09.2006 01:49 27.022 updspapi.log
12.09.2006 17:38 116 NeroDigital.ini
11.09.2006 19:34 54.156 QTFont.qfn
10.09.2006 19:39 167 game.ini
10.09.2006 19:31 205.652 ntbtlog.txt
08.09.2006 17:16 561 eReg.dat
30.08.2006 18:35 1.409 QTFont.for
12.08.2006 09:19 17.071 KB920214.log
12.08.2006 09:19 17.374 KB922616.log
12.08.2006 09:19 17.138 KB921398.log
12.08.2006 09:17 20.145 KB918899.log
12.08.2006 09:15 11.989 KB920670.log
12.08.2006 09:15 12.104 KB917422.log
12.08.2006 09:14 12.370 KB920683.log
09.08.2006 14:23 11.085 KB921883.log
19.07.2006 10:13 8.718 WgaNotify.log
18.07.2006 23:50 780 win.ini
18.07.2006 23:50 227 system.ini
15.07.2006 14:30 11.835 KB917159.log
15.07.2006 14:30 12.346 KB914388.log
15.07.2006 14:30 10.332 KB916595.log
05.07.2006 10:35 53.855 War3Unin.dat
05.07.2006 10:19 2.829 War3Unin.pif
05.07.2006 10:19 139.264 War3Unin.exe
03.07.2006 18:22 34.790 spupdsvc.log
03.07.2006 18:20 44.997 KB911565.log
03.07.2006 18:18 28.347 KB917734.log
03.07.2006 18:13 316.640 WMSysPr9.prx
30.06.2006 14:46 101 CMMIXER.INI
14.06.2006 17:01 15.231 KB918439.log
14.06.2006 17:01 15.913 KB917344.log
14.06.2006 17:01 14.874 KB917953.log
14.06.2006 17:01 14.852 KB911280.log
14.06.2006 17:00 18.078 KB916281.log
14.06.2006 17:00 11.512 KB914389.log


Datentr„ger in Laufwerk C: ist Daten
Volumeseriennummer: 5004-687D

Verzeichnis von C:\

14.09.2006 09:08 0 sys.txt
14.09.2006 09:08 10.503 system.txt
14.09.2006 09:07 347 systemtemp.txt
14.09.2006 09:07 99.626 system32.txt
14.09.2006 08:58 1.610.612.736 pagefile.sys
12.09.2006 17:09 389 boot.ini
31.08.2006 12:51 74.562 hpfr3500.log
29.07.2006 09:38 3.739 CDexAutoDetect.txt
15.05.2006 18:15 0 FileOut.Cns
15.05.2006 18:15 0 FileIn.Cns
26.02.2006 19:59 47.564 NTDETECT.COM
26.02.2006 19:59 251.184 ntldr
26.02.2006 19:39 0 CONFIG.SYS
26.02.2006 19:39 0 MSDOS.SYS
26.02.2006 19:39 0 IO.SYS
26.02.2006 19:39 0 AUTOEXEC.BAT
29.08.2002 14:00 4.952 bootfont.bin
17 Datei(en) 1.611.105.602 Bytes
0 Verzeichnis(se), 12.641.361.920 Bytes frei



So, und dann noch für Sabina den log-File:

Datentr„ger in Laufwerk C: ist Daten
Volumeseriennummer: 5004-687D

Verzeichnis von C:\Dokumente und Einstellungen\Alle\Anwendungsdaten

10.09.2006 20:00 <DIR> .
10.09.2006 20:00 <DIR> ..
13.09.2006 17:55 <DIR> Adobe
02.03.2006 19:18 <DIR> AdobeUM
17.03.2006 14:47 <DIR> Ahead
21.05.2006 00:06 <DIR> APPLEC~1 Apple Computer
28.05.2006 12:34 <DIR> Azureus
23.04.2006 15:06 <DIR> DVDSHR~1 DVD Shrink
10.09.2006 20:00 <DIR> ERRORB~1 errorbarbbyte
04.03.2006 10:50 <DIR> Google
13.03.2006 20:19 <DIR> Help
27.02.2006 20:57 <DIR> ICQLite
27.02.2006 14:57 <DIR> IDENTI~1 Identities
10.09.2006 20:00 <DIR> ITCHIN~1 itchintraslow
25.03.2006 21:28 <DIR> Lavasoft
27.05.2006 14:59 <DIR> LimeWire
28.06.2006 12:15 <DIR> MACROM~1 Macromedia
03.03.2006 14:46 <DIR> Mozilla
23.08.2006 10:35 <DIR> Mp3tag
01.03.2006 21:43 <DIR> MYBATT~1 My Battle for Middle-earth Files
27.02.2006 15:18 <DIR> NETPUM~1 NetPumper
27.04.2006 07:24 <DIR> PETROG~1 Petroglyph
23.08.2006 11:29 <DIR> SCREAM~1 Screaming Bee
13.09.2006 22:28 <DIR> Skype
04.03.2006 00:42 <DIR> Sun
05.07.2006 09:13 <DIR> T-Online
03.03.2006 14:46 <DIR> Talkback
13.09.2006 22:28 <DIR> TEAMSP~1 teamspeak2
25.03.2006 10:16 <DIR> TUNEUP~1 TuneUp Software
0 Datei(en) 0 Bytes
29 Verzeichnis(se), 12.641.357.824 Bytes frei
Datentr„ger in Laufwerk C: ist Daten
Volumeseriennummer: 5004-687D

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

12.09.2006 14:12 305 ADDR_F~1.HTM addr_file.html
13.09.2006 17:55 <DIR> Adobe
31.03.2006 15:53 <DIR> Ahead
12.09.2006 14:22 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
03.08.2006 11:16 <DIR> APPLEC~1 Apple Computer
13.03.2006 20:13 <DIR> CYBERL~1 CyberLink
02.05.2006 08:59 <DIR> DVDSHR~1 DVD Shrink
10.09.2006 20:00 <DIR> LONGMA~1 longmapiremotetrust
01.07.2006 16:31 <DIR> MACROM~1 Macromedia
02.03.2006 12:18 <DIR> MACROV~1 Macrovision
18.06.2006 11:37 <DIR> NVIEW_~1 nView_Profiles
03.03.2006 16:53 <DIR> Skype
05.03.2006 11:39 <DIR> SPYBOT~1 Spybot - Search & Destroy
12.09.2006 17:04 <DIR> TUNEUP~1 TuneUp Software
19.07.2006 10:13 <DIR> WINDOW~1 Windows Genuine Advantage
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 12.641.357.824 Bytes frei
Datentr„ger in Laufwerk C: ist Daten
Volumeseriennummer: 5004-687D

Verzeichnis von C:\WINDOWS\tasks

14.09.2006 09:00 260 AA9795B991980CE5.job
29.08.2002 14:00 65 desktop.ini
14.09.2006 08:58 6 SA.DAT
3 Datei(en) 331 Bytes
0 Verzeichnis(se), 12.641.357.824 Bytes frei




So, ich hoffe das war alles und richtig so, und ihr könnt damit was anfangen (ich nämlich net ;) )


Marcus
Seitenanfang Seitenende
14.09.2006, 12:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\tasks\AA9795B991980CE5.job

Folders to delete:
C:\Programme\errorbarbbyte
C:\Programme\NetPumper
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\itchintraslow
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\errorbarbbyte
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\longmapiremotetrust
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Remove

+
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.09.2006, 20:18
Maackuus
...neu hier

Themenstarter

Beiträge: 3
#6 Ok,d ann hier den log von Avenger!



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gdrycmwy

*******************

Script file located at: \??\C:\Program Files\imiylqnk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\tasks\AA9795B991980CE5.job deleted successfully.
Folder C:\Programme\errorbarbbyte deleted successfully.


Folder C:\Programme\NetPumper not found!
Deletion of folder C:\Programme\NetPumper failed!

Could not process line:
C:\Programme\NetPumper
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\itchintraslow deleted successfully.
Folder C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\errorbarbbyte deleted successfully.
Folder C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\NetPumper deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\longmapiremotetrust deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Regestry hab ich gesäubert!
Dieser Beitrag wurde am 16.09.2006 um 20:27 Uhr von Maackuus editiert.
Seitenanfang Seitenende
16.09.2006, 20:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Remove

+
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1