windows security center alarm !....Beistand dringend gesucht ...... |
||
---|---|---|
#0
| ||
13.09.2006, 22:40
...neu hier
Beiträge: 5 |
||
|
||
14.09.2006, 01:05
Ehrenmitglied
Beiträge: 29434 |
#2
1.
poste das log http://virus-protect.org/artikel/tools/combofix.html + stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html + Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html + echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.09.2006, 08:55
...neu hier
Themenstarter Beiträge: 5 |
#3
hi ...
danke erst mal für die schnelle antwort.. habe es genauso gemacht wie angegeben.. hier das combo fix log Daniel - 06-09-14 82835,03 Service Pack 1 ComboFix 06.09.14 - Running from CDokumente und EinstellungenDanielDesktophijackproggie (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) CDokumente und EinstellungenDanielAnwendungsdatenInstall.dat CWINDOWSxpupdate.exe ((((((((((((((((((((((((((((((( Files Created from 2006-08-14 to 2006-09-14 )))))))))))))))))))))))))))))))))) 2006-09-12 1844 157,696 --a------ CWINDOWSsystem322236_32.dll 2006-09-12 1025 17,960 --a------ CWINDOWSsystem32dlh9jkdq2.exe 2006-09-12 1025 17 --a------ CWINDOWSsystem32dlh9jkdq8.exe 2006-08-31 1944 5,632 --a------ CWINDOWSsystem32ptpusb.dll 2006-08-31 1944 150,528 --a------ CWINDOWSsystem32ptpusd.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-14 0827 -------- d-------- CProgrammeMozilla Firefox 2006-09-14 0820 -------- d-------- CDokumente und EinstellungenDanielAnwendungsdatenSkype 2006-09-13 2108 -------- d-------- CProgrammeTweakPower 2006-09-13 2106 -------- d-------- CProgrammeWinRAR 2006-09-13 1936 -------- d-------- CProgrammeewido anti-spyware 4.0 2006-09-12 2109 -------- d-------- CProgramme\BearShare 2006-09-12 2037 -------- d-------- CProgramme\Zango 2006-09-12 1934 -------- d---s---- CDokumente und EinstellungenDanielAnwendungsdatenMicrosoft 2006-09-03 1155 -------- d-------- CProgrammeICQLite 2006-09-02 1135 -------- d-------- CDokumente und EinstellungenDanielAnwendungsdatendvdcss 2006-08-30 1915 -------- d-------- CDokumente und EinstellungenDanielAnwendungsdatenHelp 2006-08-30 1846 17144 --a------ CDokumente und EinstellungenDanielAnwendungsdatenGDIPFONTCACHEV1.DAT 2006-08-19 2220 -------- d-------- CProgramme\MyGlobalSearch 2006-08-12 1447 -------- d-------- CDokumente und EinstellungenDanielAnwendungsdatenArcSoft 2006-08-12 1441 -------- d-------- CProgrammeGemeinsame DateienArcSoft 2006-08-12 1439 -------- d-------- CProgrammeHercules 2006-08-12 1439 -------- d-------- CProgrammeGemeinsame Dateien 2006-08-12 1438 -------- d--h----- CProgrammeInstallShield Installation Information 2006-08-12 1216 777472 --a------ CWINDOWSsystem32driversavg7core.sys 2006-08-12 1216 27904 --a------ CWINDOWSsystem32driversavg7rsxp.sys 2006-07-30 1147 -------- d-------- CDokumente und EinstellungenDanielAnwendungsdatenAhead (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) Note empty entries are not shown [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun] CTFMON.EXE=CWINDOWSSystem32ctfmon.exe TOSCDSPD=CProgrammeTOSHIBATOSCDSPDtoscdspd.exe Skype=CProgrammeSkypePhoneSkype.exe nosplash minimized [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] NvCplDaemon=RUNDLL32.EXE CWINDOWSSystem32NvCpl.dll,NvStartup nwiz=nwiz.exe installquiet LTSMMSG=LTSMMSG.exe SigmaTel StacMon=CProgrammeSigmaTelSigmaTel AC97 Audio-Treiberstacmon.exe SynTPLpr=CProgrammeSynapticsSynTPSynTPLpr.exe SynTPEnh=CProgrammeSynapticsSynTPSynTPEnh.exe TFNF5=TFNF5.exe TouchED=CProgrammeTOSHIBATouchEDTouchED.Exe 00THotkey=CWINDOWSSystem3200THotkey.exe 000StTHK=000StTHK.exe TPSMain=TPSMain.exe SunJavaUpdateSched=CProgrammeJavaj2re1.4.2_03binjusched.exe PRONoMgr.exe=cProgrammeIntelPROSetWirelessNCSPROSetPRONoMgr.exe AVG7_CC=CPROGRA~1GrisoftAVGFRE~1avgcc.exe STARTUP AVG7_EMC=CPROGRA~1GrisoftAVGFRE~1avgemc.exe iTunesHelper=CProgrammeiTunesiTunesHelper.exe TkBellExe=CProgrammeGemeinsame DateienRealUpdate_OBrealsched.exe -osboot NeroFilterCheck=CWINDOWSSystem32NeroCheck.exe RemoteControl=CProgrammeCyberLinkPowerDVDPDVDServ.exe KernelFaultCheck=hex(2)25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74, 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 QuickTime Task=CProgrammeQuickTimeqttask.exe -atboottime [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponents] [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsIMAIL] Installed=1 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsMAPI] Installed=1 NoChange=1 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsMSFS] Installed=1 [HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerDesktopComponents] DeskHtmlVersion=dword00000110 DeskHtmlMinorVersion=dword00000005 Settings=dword00000001 GeneralFlags=dword00000000 [HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerDesktopComponents0] Source=AboutHome SubscribedURL=AboutHome FriendlyName=Die derzeitige Homepage Flags=dword00000002 Position=hex2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,fe,02,00,00,00, 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 CurrentState=dword40000004 OriginalStateInfo=hex18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff, ff,ff,04,00,00,00 RestoredStateInfo=hex18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00, 00,00,01,00,00,00 [HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun] CTFMON.EXE=CWINDOWSSystem32CTFMON.EXE AVG7_Run=CPROGRA~1GrisoftAVGFRE~1avgw.exe RUNONCE [HKEY_USERSS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionRun] CTFMON.EXE=CWINDOWSSystem32CTFMON.EXE AVG7_Run=CPROGRA~1GrisoftAVGFRE~1avgw.exe RUNONCE [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorershellexecutehooks] {AEB6717E-7E19-11d0-97EE-00C04FD91972}= {57B86673-276A-48B2-BAE7-C6DBB3020EB8}=ewido anti-spyware 4.0 [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem] Wallpaper=CWINDOWS\desktop.html [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorer] NoDriveTypeAutoRun=dword00000091 ClearRecentDocsOnExit=dword00000000 NoActiveDesktop=dword00000000 ClassicShell=dword00000000 ForceActiveDesktopOn=dword00000001 [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorerRun] [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem] dontdisplaylastusername=dword00000000 legalnoticecaption= legalnoticetext= shutdownwithoutlogon=dword00000001 undockwithoutlogon=dword00000001 [HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorer] NoDriveTypeAutoRun=dword00000091 [HKEY_USERSS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorer] NoDriveTypeAutoRun=dword00000091 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad] PostBootReminder={7849596a-48ea-486e-8937-a2a3009f31a9} CDBurn={fbeb8a05-beee-4442-804e-409d6c4515e9} WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED} SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153} DCOM Server 2236={2C1CD3D7-86AC-4068-93BC-A02304BB2236} HKEY_LOCAL_MACHINE\software\microsoft\windows\ ntcurrent\version\winlogon\notify\Sebring HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Completion time 14.09.2006 82856.70 ComboFix.txt dann clean up gemacht... CleanUp! started on 09/14/06 08:35:13. ... C:\Dokumente und Einstellungen\Daniel\Recent\Datfindbat.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Default.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\echo.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\einäugiges möhrchen.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\first log.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\hijack.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\hjtkurz.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\info.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\install.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\iTunes Music Library.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Itunes.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Kyla Cole - This Is My Striptease For You Shy Boy (Listening Dido Unbroken Song).lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\log.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\music (2).lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\music.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\powerdvd_6_crack.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\proggie.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\skateboard.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Standesamt.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Video Skate - Rodney Mullen - Unbelieveble-by AtaruMoroboshi.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\VTS_01_1.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\windows security center alarm !____Beistand dringend gesucht ______ - Security Forum.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\$NtUninstallKB2771912$.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\adblock.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Bewerbung.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\bewerbung_1_lebenslauf.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\CD-Laufwerk (2).lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\CD-Laufwerk (3).lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\CD-Laufwerk.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\CleanUp.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\combo fix log.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\combofix.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Daniel - 06-09-14 82835,03 Service Pack 1.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\datFind.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Datfindbat.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Default.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\echo.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\einäugiges möhrchen.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\first log.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\hijack.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\hjtkurz.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\info.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\install.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\iTunes Music Library.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Itunes.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Kyla Cole - This Is My Striptease For You Shy Boy (Listening Dido Unbroken Song).lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\log.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\music (2).lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\music.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\powerdvd_6_crack.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\proggie.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\skateboard.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Standesamt.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\Video Skate - Rodney Mullen - Unbelieveble-by AtaruMoroboshi.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\VTS_01_1.lnk - deleted C:\Dokumente und Einstellungen\Daniel\Recent\windows security center alarm !____Beistand dringend gesucht ______ - Security Forum.lnk - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\maindll.dll - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\1037\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\1039\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\10399\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\10418\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\10712\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\10922\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\10977\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\10988\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11014\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11122\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11138\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11144\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11216\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11218\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11226\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11449\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11481\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\11489\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\12002\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\12743\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\12979\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\13578\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\13647\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\13665\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\13818\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\13916\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\14015\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\1415\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\14531\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\14569\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\14937\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\14948\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\15092\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\15531\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\15595\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\15747\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\16025\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\16126\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\16156\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\16213\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\16334\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\16637\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\17111\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\17149\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\17603\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\17888\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\1790\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\18149\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\18516\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\19092\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\19623\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\19939\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\19984\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\20369\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\20898\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\21305\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\21545\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\22133\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\2224\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\22396\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\2248\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\22584\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\22617\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\23168\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\23171\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\23326\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\23384\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\23402\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\23663\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\23745\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\24068\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\2424\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\24468\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\24486\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\24579\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\24929\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25044\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25142\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25289\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25500\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25518\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\2561\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25612\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25652\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25668\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25930\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\25937\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\26188\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\26429\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\26734\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\26748\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\27264\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\27422\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\27710\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\27718\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\27927\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\27959\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\28277\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\28406\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\28434\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\28458\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\2857\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\28753\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\28766\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\28825\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\29173\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\29471\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\29509\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\29538\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\30034\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\30055\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\30122\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\30173\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\30601\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\30677\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\3097\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\31402\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\32109\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\32128\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\32424\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\32525\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\32724\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\3509\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\3514\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\37\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\417\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\4177\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\4624\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\4988\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\5095\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\5164\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\5429\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\5925\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\5961\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\5977\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6085\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6099\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6250\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6277\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6304\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6463\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6508\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6776\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6803\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\6808\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\7010\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\7428\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\756\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\7569\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\7673\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\7738\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\8208\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\8380\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\8552\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\8684\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\885\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\9026\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\9155\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\9322\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\9969\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Adobe\Acrobat\6.0\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Adobe\Acrobat\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Adobe\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Albums\Sample\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Albums\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\App\App\Avatar\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\App\App\InviteVideo\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\App\App\map_voice_chat\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\App\App\marketdevil\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\App\App\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\App\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\ff_temp\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\Games\Backgammon\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\Games\checkers\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\Games\InspectorParker\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\Games\rps\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\Games\slide-a-lama\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\Games\WordNinja\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\Games\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Games\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\hsperfdata_Daniel\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIB\MIB\marketdevilRcv\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIB\MIB\VideoRcv\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIB\MIB\voice_chat_recv_map\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIB\MIB\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIB\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIBShow\MIBShow\ICQChatRecv\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIBShow\MIBShow\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\MIBShow\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\msohtml1\01\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\msohtml1\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\NEWC9.tmp\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\NEWD6.tmp\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\nro.log\log\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\nro.log\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\ns_temp\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\People\People\Meetic\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\People\People\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\People\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\pftB.tmp\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Picasa2\Picasa filecheck\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\Picasa2\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\plugtmp\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\RarSFX0\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\rb\3492\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\rb\3964\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\rb\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\VBE\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\WER3FA.tmp.dir00\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\{A7453632-F549-4DF9-979C-6B2689B4E920}\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\~offfilt\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\~rnsetup\ - deleted C:\DOKUME~1\Daniel\LOKALE~1\Temp\maindll.dll - deleted C:\WINDOWS\temp\Cookies\ - deleted C:\WINDOWS\temp\Temporary Internet Files\Content.IE5\5PPB9ZE3\ - deleted C:\WINDOWS\temp\Temporary Internet Files\Content.IE5\LH9XGU9J\ - deleted C:\WINDOWS\temp\Temporary Internet Files\Content.IE5\OLD5OY80\ - deleted C:\WINDOWS\temp\Temporary Internet Files\Content.IE5\VHPAUOEC\ - deleted C:\WINDOWS\temp\Temporary Internet Files\Content.IE5\ - deleted C:\WINDOWS\temp\Temporary Internet Files\ - deleted C:\WINDOWS\temp\Verlauf\History.IE5\ - deleted C:\WINDOWS\temp\Verlauf\ - deleted C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted C:\Dokumente und Einstellungen\Daniel\Cookies\index.dat - deleted C:\Dokumente und Einstellungen\Daniel\Cookies\index.dat - deleted C:\WINDOWS\Prefetch\1XCONFIG.EXE-36197FC5.pf - deleted C:\WINDOWS\Prefetch\AVGVV.EXE-238D694C.pf - deleted C:\WINDOWS\Prefetch\AVGW.EXE-2E78E0E8.pf - deleted C:\WINDOWS\Prefetch\AVGWB.DAT-08141828.pf - deleted C:\WINDOWS\Prefetch\CHCP.COM-18156052.pf - deleted C:\WINDOWS\Prefetch\CLEANUP.EXE-3438663A.pf - deleted C:\WINDOWS\Prefetch\CLEANUP452.EXE-1227E0C5.pf - deleted C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted C:\WINDOWS\Prefetch\COMBOFIX.EXE-1A88CB00.pf - deleted C:\WINDOWS\Prefetch\COMBOFIX.EXE-36397029.pf - deleted C:\WINDOWS\Prefetch\CSCRIPT.EXE-1C26180C.pf - deleted C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf - deleted C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf - deleted C:\WINDOWS\Prefetch\DLH9JKDQ6.EXE-172C6A4C.pf - deleted C:\WINDOWS\Prefetch\DLH9JKDQ7.EXE-37D27366.pf - deleted C:\WINDOWS\Prefetch\DLLHOST.EXE-1ECB6754.pf - deleted C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf - deleted C:\WINDOWS\Prefetch\EWIDO.EXE-064AF050.pf - deleted C:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf - deleted C:\WINDOWS\Prefetch\FIND.EXE-39BA054E.pf - deleted C:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf - deleted C:\WINDOWS\Prefetch\FINDSTR.EXE-29CCA663.pf - deleted C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf - deleted C:\WINDOWS\Prefetch\HELPCTR.EXE-3862B6F5.pf - deleted C:\WINDOWS\Prefetch\HELPHOST.EXE-247D2792.pf - deleted C:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf - deleted C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-20B798E6.pf - deleted C:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf - deleted C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted C:\WINDOWS\Prefetch\IPODSERVICE.EXE-233792DA.pf - deleted C:\WINDOWS\Prefetch\ITUNES.EXE-15E88941.pf - deleted C:\WINDOWS\Prefetch\KAVSS.EXE-1908EEA9.pf - deleted C:\WINDOWS\Prefetch\Layout.ini - deleted C:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf - deleted C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted C:\WINDOWS\Prefetch\MMC.EXE-05A52EBC.pf - deleted C:\WINDOWS\Prefetch\MMC.EXE-15688AA5.pf - deleted C:\WINDOWS\Prefetch\MSHTA.EXE-331DF029.pf - deleted C:\WINDOWS\Prefetch\NETSH.EXE-085CFFDE.pf - deleted C:\WINDOWS\Prefetch\NIRCMD.EXE-1FB8FB94.pf - deleted C:\WINDOWS\Prefetch\NIRCMD.EXE-1FBC4A1E.pf - deleted C:\WINDOWS\Prefetch\NIRCMD.EXE-22AC7776.pf - deleted C:\WINDOWS\Prefetch\NOTEPAD.EXE-189578DA.pf - deleted C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted C:\WINDOWS\Prefetch\OSA.EXE-0082CBE3.pf - deleted C:\WINDOWS\Prefetch\REALPLAY.EXE-39F79CBD.pf - deleted C:\WINDOWS\Prefetch\REALSCHED.EXE-0A2A7558.pf - deleted C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf - deleted C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-1B2311F5.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-1C320F03.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-2224CA76.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-268BFF96.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-26DA8C9B.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-2AD791B1.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-30A7C773.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-3780E2E0.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-445649BB.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted C:\WINDOWS\Prefetch\SC.EXE-2DC19A59.pf - deleted C:\WINDOWS\Prefetch\SKYPE.EXE-21F19BC8.pf - deleted C:\WINDOWS\Prefetch\SMLOGSVC.EXE-054B1E6C.pf - deleted C:\WINDOWS\Prefetch\SORT.EXE-2F324C30.pf - deleted C:\WINDOWS\Prefetch\SWREG.EXE-298CB0F2.pf - deleted C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf - deleted C:\WINDOWS\Prefetch\TOSCDSPD.EXE-2E028BB7.pf - deleted C:\WINDOWS\Prefetch\TWEAKPOWER.EXE-0AFD2255.pf - deleted C:\WINDOWS\Prefetch\VXGAME2.EXE-3521824F.pf - deleted C:\WINDOWS\Prefetch\WINRAR.EXE-3588DFE8.pf - deleted C:\WINDOWS\Prefetch\WMIAPSRV.EXE-1E2270A5.pf - deleted C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted C:\WINDOWS\Prefetch\WMPLAYER.EXE-09969333.pf - deleted C:\WINDOWS\Prefetch\XPUPDATE.EXE-0615ACB1.pf - deleted C:\WINDOWS\Prefetch\ZANGO.EXE-30C6594A.pf - deleted 'Run MRU' list - removed from the registry. 'Doc Find Spec MRU' list - removed from the registry. 'FindComputerMRU' list - removed from the registry. 'ComputerNameMRU' list - removed from the registry. 'ContainingTextMRU' list - removed from the registry. 'FilesNamedMRU' list - removed from the registry. Search Assistant MRU list - removed from the registry. Explorer Open/Save MRU list - removed from the registry. Explorer Last Visited MRU list - removed from the registry. Paint Recent File List - removed from the registry. WordPad Recent File List - removed from the registry. Telnet's MRU list - removed from the registry. Windows Media Player Recent File List - removed from the registry. WinZip Extract MRU list - removed from the registry. WinZip File MRU list - removed from the registry. CleanUp! 4.5.2 recovered 10.8 MB of disk space from 181 files. CleanUp! finished on 09/14/06 08:35:14. neu gestartet.. der alarm ist nun weg.. das ist sehr gut... das ist das log von datfind.bat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 80FB-315E Verzeichnis von C:\WINDOWS\system32 12.09.2006 20:36 17 dlh9jkdq8.exe 12.09.2006 18:44 1 kr_done1 12.09.2006 18:44 157.696 2236_32.dll 12.09.2006 10:25 1 vx.tll 12.09.2006 10:25 17.960 dlh9jkdq2.exe 15.08.2006 16:17 1.158 wpa.dbl 29.05.2006 19:28 380.684 perfh009.dat 29.05.2006 19:28 391.574 perfh007.dat 29.05.2006 19:28 53.098 perfc009.dat 29.05.2006 19:28 63.976 perfc007.dat 29.05.2006 19:28 897.778 PerfStringBackup.INI 29.05.2006 19:26 110.192 FNTCACHE.DAT 29.05.2006 11:38 153 $winnt$.inf 29.05.2006 11:37 308 results.txt 29.05.2006 11:11 176.167 rmoc3260.dll 29.05.2006 11:11 5.632 pndx5032.dll 29.05.2006 11:11 6.656 pndx5016.dll 29.05.2006 11:11 278.528 pncrt.dll 29.05.2006 11:05 348.160 msvcr71.dll 29.05.2006 11:05 499.712 msvcp71.dll 04.05.2006 17:35 65.536 QuickTimeVR.qtx 04.05.2006 17:35 49.152 QuickTime.qts Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 80FB-315E Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp 14.09.2006 08:42 139.264 maindll.dll 14.09.2006 08:38 222 jusched.log 2 Datei(en) 139.486 Bytes 0 Verzeichnis(se), 7.825.158.144 Bytes frei und das log von echo.bat 10)DPF???? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 80FB-315E Verzeichnis von C:\WINDOWS\Downloaded Program Files 14.10.1997 19:52 697 DirectAnimation Java Classes.osd 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 2 Datei(en) 1.859 Bytes Anzahl der angezeigten Dateien: 2 Datei(en) 1.859 Bytes 0 Verzeichnis(se), 7.825.145.856 Bytes frei ich hoffe habe es soweit richtig gemacht.. muss ich noch etwas mit den rot markierten dateien vom hijacklog machen?? und noch eine frage ... ich kann nicht mehr auf meine desktop einstellungungen zugreifen. d.h. es wird nur ein weißer hintergrund angezeigt, also ich kann kein hintergrundbild mehr laden, kann also kein bild mehr auswählen... kann es sein das die desktop.htm beschädigt ist/wurde?? was kann man da machen ?? vielen dank bis denn gruß björn |
|
|
||
14.09.2006, 11:52
Ehrenmitglied
Beiträge: 29434 |
#4
**
es fehlen zwei Logs von datfindbat, poste sie bitte noch 1.Log Verzeichnis von C:\WINDOWS\system32 2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 3.Log Verzeichnis von C:\WINDOWS 4.Log Verzeichnis von C:\ ** Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren) DCOM Server 2236 2236_32.dll in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ** Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "sheriff.reg" auf dem Desktop doppelklicken. Zitat REGEDIT4** Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint ** arbeite smitfraudfix ab, dann kommt das desktop in Ordnung http://virus-protect.org/artikel/tools/smitfrautfix.html ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/--------------------------------------------------------------------------------------------------------- ** poste folgendes log RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.09.2006, 10:09
...neu hier
Themenstarter Beiträge: 5 |
#5
hallo nochmal...
danke für deine professionelle hilfe.. habe alles so ausgeführt, wie du es angegeben hast.. desktop funktioniert wieder... cool... hier nochmal die kompletten logs.. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 80FB-315E Verzeichnis von C:\WINDOWS\system32 15.09.2006 09:54 393 RootkitReveal2.txt 15.09.2006 09:29 6.409 RootkitReveal.txt 12.09.2006 18:44 1 kr_done1 12.09.2006 18:44 157.696 2236_32.dll 12.09.2006 10:25 1 vx.tll 29.08.2006 19:43 135.168 swreg.exe 15.08.2006 16:17 1.158 wpa.dbl 29.05.2006 19:28 380.684 perfh009.dat 29.05.2006 19:28 53.098 perfc009.dat 29.05.2006 19:28 391.574 perfh007.dat 29.05.2006 19:28 63.976 perfc007.dat 29.05.2006 19:28 897.778 PerfStringBackup.INI 29.05.2006 19:26 110.192 FNTCACHE.DAT 29.05.2006 11:38 153 $winnt$.inf 29.05.2006 11:37 308 results.txt 29.05.2006 11:11 176.167 rmoc3260.dll 29.05.2006 11:11 5.632 pndx5032.dll 29.05.2006 11:11 6.656 pndx5016.dll 29.05.2006 11:11 278.528 pncrt.dll 29.05.2006 11:05 348.160 msvcr71.dll 29.05.2006 11:05 499.712 msvcp71.dll 04.05.2006 17:35 65.536 QuickTimeVR.qtx 04.05.2006 17:35 49.152 QuickTime.qts Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp 15.09.2006 09:58 444 jusched.log 15.09.2006 09:12 139.264 maindll.dll 2 Datei(en) 139.708 Bytes 0 Verzeichnis(se), 7.779.033.088 Bytes frei Verzeichnis von C:\WINDOWS 15.09.2006 09:58 159 wiadebug.log 15.09.2006 09:58 50 wiaservc.log 15.09.2006 09:58 0 0.log 15.09.2006 09:58 2.048 bootstat.dat 15.09.2006 09:57 32.626 SchedLgU.Txt 15.09.2006 09:09 152.454 ntbtlog.txt 15.09.2006 09:08 211.690 setupact.log 15.09.2006 08:32 1.587.804 setupapi.log 14.09.2006 00:45 0 NDSTray.INI 14.09.2006 00:37 54.156 QTFont.qfn 14.09.2006 00:37 1.409 QTFont.for 10.09.2006 23:30 116 NeroDigital.ini 18.08.2006 00:23 139.691 wmsetup.log 12.08.2006 14:33 12.932 Windows Update.log 21.06.2006 23:28 3.616 mozver.dat 16.06.2006 18:33 100 cdplayer.ini 07.06.2006 00:40 1.003.974 Firefox Wallpaper.bmp 29.05.2006 19:27 162.782 DirectX.log 29.05.2006 12:34 400 ODBC.INI 29.05.2006 12:33 599 win.ini 29.05.2006 11:39 1.174 OEWABLog.txt 29.05.2006 11:38 842.769 setuplog.txt 29.05.2006 11:38 6.534 KB826942.log 29.05.2006 11:36 64.162 tsoc.log 29.05.2006 11:36 4.615 sessmgr.setup.log 29.05.2006 11:36 23.942 iis6.log 29.05.2006 11:36 616 DtcInstall.log 29.05.2006 11:35 2.772 regopt.log 29.05.2006 11:34 632 setuperr.log 29.05.2006 11:20 99.970 UninstallFirefox.exe 29.05.2006 11:08 335 GEARInstall.log Verzeichnis von C:\ 15.09.2006 10:05 0 sys.txt 15.09.2006 10:05 7.195 system.txt 15.09.2006 10:04 342 systemtemp.txt 15.09.2006 10:01 92.358 system32.txt 15.09.2006 09:58 805.306.368 pagefile.sys 15.09.2006 09:08 1.761 rapport.txt 15.09.2006 08:53 1.294 avenger.txt 14.09.2006 08:50 490 DirDPF.txt 14.09.2006 08:50 2 DirDPFCns.txt 14.09.2006 08:28 7.821 ComboFix.txt 12.09.2006 22:20 117 12.09.2006222013.txt 05.08.2006 08:00 11.870.757 AVG7QT.DAT 30.07.2006 14:28 1.119 INSTALL.LOG 29.05.2006 11:37 194 boot.ini regsearch log: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.09.2006 08:42:27 for strings: ; 'dcom server 2236' ; '2236_32.dll' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32] @="C:\\WINDOWS\\System32\\2236_32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "DCOM Server 2236"="{2C1CD3D7-86AC-4068-93BC-A02304BB2236}" ; End Of The Log... avenger log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\sovfrwbu ******************* Script file located at: \??\C:\WINDOWS\System32\rwnhgrsy.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Folder C:\Programme\Zango deleted successfully. Folder C:\Programme\BearShare deleted successfully. Folder C:\Programme\MyGlobalSearch deleted successfully. Completed script processing. ******************* Finished! Terminate. RootkitRevealer log: HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s0 30.05.2006 00:37 4 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s1 30.05.2006 00:37 4 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s2 30.05.2006 00:37 4 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\g0 30.05.2006 00:37 32 bytes Hidden from Windows API. C:\$VAULT$.AVG\00676652.FIL 15.09.2006 09:21 2.93 KB Hidden from Windows API. C:\$VAULT$.AVG\00684263.FIL 15.09.2006 09:21 2.47 KB Hidden from Windows API. C:\$VAULT$.AVG\00690623.FIL 15.09.2006 09:21 2.06 KB Hidden from Windows API. C:\$VAULT$.AVG\00696912.FIL 15.09.2006 09:21 28.46 KB Hidden from Windows API. C:\$VAULT$.AVG\00702259.FIL 15.09.2006 09:21 15.19 KB Hidden from Windows API. C:\$VAULT$.AVG\00717581.FIL 15.09.2006 09:22 2.06 KB Hidden from Windows API. C:\$VAULT$.AVG\00722859.FIL 15.09.2006 09:22 2.47 KB Hidden from Windows API. C:\$VAULT$.AVG\00730981.FIL 15.09.2006 09:22 14.46 KB Hidden from Windows API. C:\$VAULT$.AVG\00735888.FIL 15.09.2006 09:22 15.19 KB Hidden from Windows API. C:\$VAULT$.AVG\00748175.FIL 15.09.2006 09:22 6.08 KB Hidden from Windows API. C:\$VAULT$.AVG\00752692.FIL 15.09.2006 09:22 2.06 KB Hidden from Windows API. C:\$VAULT$.AVG\00756097.FIL 15.09.2006 09:22 15.17 KB Hidden from Windows API. C:\$VAULT$.AVG\00761074.FIL 15.09.2006 09:22 15.17 KB Hidden from Windows API. C:\$VAULT$.AVG\00773562.FIL 15.09.2006 09:23 6.24 KB Hidden from Windows API. C:\$VAULT$.AVG\00798337.FIL 15.09.2006 09:23 5.64 KB Hidden from Windows API. C:\$VAULT$.AVG\00811176.FIL 15.09.2006 09:23 2.47 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6uws7u6.default\Cache\3CC8C4BDd01 15.09.2006 09:18 18.05 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6uws7u6.default\Cache\7FBBE802d01 15.09.2006 09:20 17.55 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6uws7u6.default\Cache\DCA508FFd01 15.09.2006 09:18 17.55 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4D27KHYJ\printlayout[1].css 15.09.2006 09:23 165 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XZG8Y9WU\doc21001us[1] 15.09.2006 09:23 1.75 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XZG8Y9WU\layout[1].css 15.09.2006 09:23 5.36 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJ30CQH6\printstyles[1].css 15.09.2006 09:23 7.55 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJ30CQH6\styles[1].css 15.09.2006 09:23 9.67 KB Hidden from Windows API. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0015463.exe 12.09.2006 10:25 2.46 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0015472.exe 12.09.2006 10:25 2.00 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0015473.exe 12.09.2006 10:25 1.59 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0015474.exe 12.09.2006 10:25 28.00 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0015475.exe 12.09.2006 10:25 14.73 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016463.exe 12.09.2006 10:32 1.59 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016464.exe 12.09.2006 10:32 2.00 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016466.exe 12.09.2006 10:32 14.00 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016467.exe 12.09.2006 10:33 14.73 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016479.exe 12.09.2006 18:44 5.61 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016480.exe 12.09.2006 18:44 1.59 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016481.exe 12.09.2006 18:39 14.72 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016494.exe 12.09.2006 19:40 14.72 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016495.exe 12.09.2006 19:40 5.77 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016496.exe 12.09.2006 19:40 5.17 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP48\A0016497.exe 12.09.2006 19:40 2.00 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP50\A0017833.lnk 15.09.2006 08:55 677 bytes Visible in directory index, but not Windows API or MFT. C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP50\A0017834.lnk 15.09.2006 09:01 433 bytes Visible in directory index, but not Windows API or MFT. C:\WINDOWS\Prefetch\RUNDLL32.EXE-3A26AEFB.pf 15.09.2006 09:22 23.12 KB Hidden from Windows API. okay.... danke nochmal.. hoffe nun ist alles richtig gemacht.. mfg björn |
|
|
||
15.09.2006, 11:40
Ehrenmitglied
Beiträge: 29434 |
#6
pikartmd
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\++ Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. ++ Gehe in die registry start -Ausfuehren - regedit bearbeiten - suchen - DCOM Server 2236 und 2236_32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] loeschen "{2C1CD3D7-86AC-4068-93BC-A02304BB2236}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] loeschen "DCOM Server 2236" ++ Avenger Zitat registry keys to delete:Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k poste das log vom avenger nach neustart, + noch mal das erste log von datfindbat ------------------------------------- ++ scanne mit kaspersky (Vollscan) und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.09.2006, 18:30
...neu hier
Themenstarter Beiträge: 5 |
#7
hallo..
habe hier nochmal die logs erster teil von datfind und avenger das log vom kaspersky onlinescan.. hat leider nicht geklappt, da der server irgendwie down war.. aber ich versuche es später noch mal.. danke mfg björn Verzeichnis von C:\WINDOWS\system32 29.08.2006 19:43 135.168 swreg.exe 15.08.2006 16:17 1.158 wpa.dbl 29.05.2006 19:28 380.684 perfh009.dat 29.05.2006 19:28 391.574 perfh007.dat 29.05.2006 19:28 53.098 perfc009.dat 29.05.2006 19:28 63.976 perfc007.dat 29.05.2006 19:28 897.778 PerfStringBackup.INI 29.05.2006 19:26 110.192 FNTCACHE.DAT 29.05.2006 11:38 153 $winnt$.inf 29.05.2006 11:37 308 results.txt 29.05.2006 11:11 176.167 rmoc3260.dll 29.05.2006 11:11 5.632 pndx5032.dll 29.05.2006 11:11 6.656 pndx5016.dll 29.05.2006 11:11 278.528 pncrt.dll 29.05.2006 11:05 348.160 msvcr71.dll 29.05.2006 11:05 499.712 msvcp71.dll 04.05.2006 17:35 65.536 QuickTimeVR.qtx 04.05.2006 17:35 49.152 QuickTime.qts 27.04.2006 17:49 288.417 SrchSTS.exe 26.01.2006 20:36 716.800 divxdec.ax 26.01.2006 20:36 574.976 DivX.dll 26.01.2006 20:35 679.936 divx_xx07.dll 26.01.2006 20:35 679.936 divx_xx0c.dll 26.01.2006 20:35 663.552 divx_xx11.dll 24.01.2006 20:08 12.288 DivXWMPExtType.dll 09.01.2006 21:32 86.016 dpl100.dll 09.01.2006 21:32 593.920 dpuGUI11.dll 09.01.2006 21:32 200.704 dtu100.dll 09.01.2006 21:32 339.968 dpus11.dll 09.01.2006 21:32 57.344 dpv11.dll 09.01.2006 21:32 294.912 dpu11.dll 09.01.2006 21:32 294.912 dpu10.dll 09.01.2006 10:36 40.960 swsc.exe 05.12.2005 22:51 10.716 dsm_ja.qm 05.12.2005 22:51 15.331 dsm_de.qm 05.12.2005 22:51 15.172 dsm_fr.qm 23.11.2005 06:00 4.276 divxsm.tlb 23.11.2005 06:00 778.240 DivXsm.exe 27.10.2005 21:37 53.248 dpuGUI10.dll 30.09.2005 09:56 18.972 ov530ext.ax 30.09.2005 09:42 40.960 ov530ext.dll 28.09.2005 20:50 1.044.480 libdivx.dll 28.09.2005 20:50 200.704 ssldivx.dll 13.09.2005 04:07 608.448 comctl32.ocx 12.08.2005 23:57 3.596.288 qt-dx331.dll 10.08.2005 00:13 245.408 unicows.dll 10.08.2005 00:12 8.523 dpude.qm 10.08.2005 00:12 3.136 dtu_de.qm 10.08.2005 00:12 356.436 DivXMedia.ax 31.05.2005 10:20 79.432 GEARAspi.dll 16.02.2005 15:18 90.184 NeroCo.dll 26.07.2004 17:16 471.040 imagXRA7.dll 26.07.2004 17:16 476.320 imagXpr7.dll 26.07.2004 17:16 1.568.768 imagX7.dll 26.07.2004 17:16 262.144 imagXR7.dll 20.07.2004 01:50 16.440 ov530usd.dll 19.07.2004 16:19 285.696 kstvtune.ax 09.07.2004 09:43 364.544 TwnLib4.dll 09.07.2004 04:27 181.248 dmime.dll 09.07.2004 04:27 230.400 dplayx.dll 09.07.2004 04:27 316.928 qdv.dll 09.07.2004 04:27 381.952 dsound.dll 09.07.2004 04:27 974.848 dxdiag.exe 09.07.2004 04:27 1.201.152 d3d8.dll 09.07.2004 04:27 1.769.472 dxdiagn.dll 09.07.2004 04:27 292.864 ddraw.dll 09.07.2004 04:27 79.360 dpwsockx.dll 09.07.2004 04:27 1.703.936 d3d9.dll 09.07.2004 04:27 122.880 dmusic.dll 09.07.2004 04:27 470.528 qdvd.dll 09.07.2004 04:26 354.816 psisdecd.dll 09.07.2004 04:26 30.208 psisrndr.ax 09.07.2004 04:26 27.648 vbisurf.ax 09.07.2004 04:26 47.104 wstdecod.dll 09.07.2004 04:26 226.304 kswdmcap.ax 09.07.2004 04:26 16.896 bdaplgin.ax 09.07.2004 04:26 1.230.336 msvidctl.dll 09.07.2004 04:26 52.224 msdvbnp.ax 09.07.2004 04:26 57.856 mpeg2data.ax 09.07.2004 04:26 39.424 ksxbar.ax 09.07.2004 04:26 16.896 msyuv.dll 09.07.2004 04:26 14.848 ipsink.ax 04.05.2004 11:53 1.645.320 gdiplus.dll 16.03.2004 11:17 333 $ncsp$.inf 16.03.2004 11:00 61.555 jpicpl32.cpl 16.03.2004 11:00 28.779 javaw.exe 16.03.2004 11:00 24.681 java.exe Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\modgkpth ******************* Script file located at: \??\C:\WINDOWS\cxadvtgj.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\kr_done1 deleted successfully. File C:\WINDOWS\system32\2236_32.dll deleted successfully. File C:\WINDOWS\system32\vx.tll deleted successfully. File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4D27KHYJ\printlayout[1].css not found! Deletion of file C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4D27KHYJ\printlayout[1].css failed! Could not process line: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4D27KHYJ\printlayout[1].css Status: 0xc0000034 File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJ30CQH6\styles[1].css not found! Deletion of file C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJ30CQH6\styles[1].css failed! Could not process line: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJ30CQH6\styles[1].css Status: 0xc0000034 File ++ not found! Deletion of file ++ failed! Could not process line: ++ Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236} failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
|
|
||
15.09.2006, 23:22
Ehrenmitglied
Beiträge: 29434 |
#8
scanne mit sophos und mit kaspersky und poste die reporte
http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.09.2006, 20:27
...neu hier
Themenstarter Beiträge: 5 |
#9
Sophos Anti-Virus
Version 4.09.0 [Win32/Intel] Virus data version 4.09, September 2006 Includes detection for 188052 viruses, trojans and worms Copyright (c) 1989-2006 Sophos Plc, www.sophos.com System time 19:16:51, System date 17 September 2006 Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet Full Scanning Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\call256.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\callmember256.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\chat512.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\chatmsg256.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\chatmsg512.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\contactgroup256.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\index2.dat Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\profile256.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\user1024.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\user16384.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\user4096.dbb Could not open c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Skype\bonnieohnekleid\voicemail256.dbb >>> Virus 'Troj/ByteVeri-N' found in file c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-6916b0c6-5f0cd729.zip\BlackBox.class >>> Virus 'Troj/ByteVeri-N' found in file c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-6916b0c6-5f0cd729.zip\VerifierBug.class >>> Virus 'Troj/ByteVeri-N' found in file c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-6916b0c6-5f0cd729.zip\Beyond.class >>> Virus 'Troj/ByteVeri-N' found in file c:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-6916b0c6-5f0cd729.zip Removal successful Aborted checking c:\Dokumente und Einstellungen\Daniel\Eigene Dateien\TempImage.nrg - appears to be a 'zip bomb' Could not open c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Password protected file c:\Programme\Adobe\Acrobat 6.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file c:\Programme\Adobe\Acrobat 6.0\Reader\Messages\ENU\RdrMsgENU.pdf Could not check c:\Programme\Microsoft Office\Templates\1031\Envelope Wizard.wiz (corrupt) Could not check c:\Programme\Microsoft Office\Templates\1031\Memo Wizard.wiz (corrupt) Could not check c:\Programme\Microsoft Office\Templates\1031\Professional Resume.dot (corrupt) Password protected file c:\WINDOWS\Cache\Adobe Reader 6\Data1.cab\RdrMsgENU.pdf Could not open c:\WINDOWS\system32\config\system.LOG Could not open c:\WINDOWS\system32\drivers\sptd.sys Could not open c:\WINDOWS\system32\drivers\sptd9565.sys Aborted checking d:\Filme\XXX\XXX - LA Fashion Girls CD1 (Stacy Valentine, Jill Kelly, Shayla LaVeaux, Nina Hartley, Kimberly Kupps, Peter North).avi - appears to be a 'zip bomb' Could not check d:\System\Internet\ICQ\exe\icq4_german_setup.exe\SfxArchiveData\Sarc0000 (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\03655CE2.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\0397E2E3.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\1CC67ADD.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\2286F705.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\283E344A.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\2DCB8823.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\32F0408C.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\38D33B79.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\405D0351.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\4D78F72B.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\64E121A0.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\691545BE.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\75E73656.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\A51B2B31.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\AA46DF6E.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\AE89F27E.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\B2D7621C.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\B7B2933B.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\BA97E870.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\CBAA0D8E.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\D8DBA457.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\DD3F1EC1.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\E36A8BCD.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\EE093181.cab (corrupt) Could not check d:\System\Tools\Computertools\Nero.7.Premium.Cracked\Nero 7 Premium\Nero 7 Premium\Cab\F9FEE7DF.cab (corrupt) 2 master boot records swept. 34138 files swept in 1 hour, 9 minutes and 49 seconds. 93 errors were encountered. 4 viruses were discovered. 1 file out of 34138 was infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 41 encrypted files were not checked. Ending Sophos Anti-Virus. |
|
|
||
17.09.2006, 21:13
Ehrenmitglied
Beiträge: 29434 |
#10
Java ist anfaellig fuer Trojaner
Es ist also wichtig regelmaessig den Cache zu leeren! Am einfachsten geht das mit CCleaner http://virus-protect.org/artikel/tools/javasun.html ------------- scanne mit microtrend und poste den report http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
benötige wirklich hilfe..
binmit meinem amateur-latain am ende..
habe ständig den windows security center alarm ..
habe schon alles gescannt und trojaner und java basierte viren entfernt
habe mit avg und ewido gescannt und soweit gesäubert..
nur habe ich jetzt immer noch diesen alarm der immer noch vor spyware/adware warnt.. meine scanner finden nichts mehr.. keine fehler..
habe jetzt hijack gedownloaded und logfile erstellt, wie es andere auch gemacht haben.. vielleicht kann mir jemand helfen.. gruß björn
Logfile of HijackThis v1.99.1
Scan saved at 22:24:06, on 13.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Windows\xpupdate.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\hijack\proggie\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\System32\2236_32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe