TR/vundo.gen löschen??

Thema ist geschlossen!
Thema ist geschlossen!
#0
25.09.2006, 00:03
...neu hier

Beiträge: 4
#16 Hallo,

Der Avenger präsentiert mir jedesmal nur Fehlermeldungen und erreicht leider gar nichts. Ich habe mich jetzt aber entschieden zu formatieren - da das System sowieso recht frisch ist, ist das kein großer Aufwand.
Gibt es denn irgendwelche Möglichkeiten so etwas zu vermeiden? SP2 werde ich installieren, schließt das die Sicherheitslücken wirklich weitestgehen? Oder gibt es noch andere Tipps?

Und was ich jetzt mal sagen muss: Vielen Dank für die große Mühe, die hier darauf verwendet wird, Leuten mit ihren Problemen zu helfen! So etwas ist echt klasse.
Seitenanfang Seitenende
25.09.2006, 21:41
Member

Beiträge: 29
#17 ich hab das selbe problem, poste einfach mal das was mir HijackThis ausgespuckt hat:


Logfile of HijackThis v1.99.1
Scan saved at 21:35:54, on 25.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Razer\razerhid.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Razer\razertra.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\mIRC\mirc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Alien\Desktop\avenger\avenger.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\Dokumente und Einstellungen\Alien\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
Seitenanfang Seitenende
25.09.2006, 23:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Aliennod

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.09.2006, 16:39
Member

Beiträge: 29
#19 Alien - 06-09-26 16:36:14,85 Service Pack 2
ComboFix 06.09.26 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Y1123OU.exe


((((((((((((((((((((((((((((((( Files Created from 2006-08-26 to 2006-09-26 ))))))))))))))))))))))))))))))))))


2006-09-25 20:51 78,488 --a------ C:\WINDOWS\system32\XMD5.dll
2006-09-25 20:51 101,888 --a------ C:\WINDOWS\system32\vb6stkit.dll
2006-09-18 22:35 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2006-09-17 21:21 106,516 --a------ C:\WINDOWS\system32\qgyvdjcg.dll
2006-09-05 19:14 106,516 --a------ C:\WINDOWS\system32\vayumrat.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-26 16:37 587323 ---hs---- C:\WINDOWS\system32\ehhkj.ini2
2006-09-26 16:37 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-26 16:37 -------- d-------- C:\Programme\CleanUp!
2006-09-26 16:35 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-26 16:25 -------- d-------- C:\Programme\PestPatrol
2006-09-25 21:08 -------- d-------- C:\Programme\SpywareBot
2006-09-25 19:05 -------- d-------- C:\Programme\BearShare
2006-09-24 09:13 1092679 ---hs---- C:\WINDOWS\system32\ehhkj.bak2
2006-09-23 07:51 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\Azureus
2006-09-20 20:43 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\CoreFTP
2006-09-19 22:11 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\Skype
2006-09-18 16:51 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-17 21:21 1218844 ---hs---- C:\WINDOWS\system32\ehhkj.bak1
2006-09-09 10:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-09 10:46 -------- d-------- C:\Programme\Adobe
2006-09-09 10:46 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\Adobe
2006-09-09 02:14 -------- d-------- C:\Programme\Azureus
2006-08-31 18:46 -------- d-------- C:\Programme\Gemeinsame Dateien\DirectX
2006-08-30 19:32 2560 --a------ C:\upd.exe
2006-08-28 16:58 -------- d-------- C:\Programme\ATI Technologies
2006-08-25 16:43 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-24 17:05 -------- d-------- C:\Programme\Doushin
2006-08-20 11:58 -------- d-------- C:\Programme\Java
2006-08-19 14:04 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-17 17:24 13844 --a------ C:\WINDOWS\system32\smdfhnjo.exe
2006-08-06 18:47 -------- d-------- C:\Programme\Trillian
2006-08-02 18:44 -------- d-------- C:\Programme\ICQLite
2006-07-12 18:48 98324 --a------ C:\WINDOWS\system32\xrfuawrm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="C:\\Programme\\Creative\\MediaSource\\Detector\\CTDetect.exe /R"
"Creative MediaSource Go"="\"C:\\Programme\\Creative\\MediaSource\\Go\\CTCMSGo.exe\" /SCB"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDrvEmulator"="\"C:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe\" -1 AudioDrvEmulator \"C:\\Programme\\Creative\\Shared Files\\Module Loader\\Audio Emulator\\AudDrvEm.dll\""
"CTHelper"="CTHELPER.EXE"
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"razer"="C:\\Programme\\Razer\\razerhid.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"PC Booster"="C:\\Programme\\inKline Global\\PC Booster\\pcbooster.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"PCTVRemote"="C:\\Programme\\Pinnacle\\PCTV Stereo\\Remote\\Remoterm.exe"
"SoundMan"="SOUNDMAN.EXE"
"Lexmark 2200 Series"="\"C:\\Programme\\Lexmark 2200 Series\\lxbvbmgr.exe\""
"CTDVDDET"="C:\\Programme\\Creative\\SBAudigy4\\DVDAudio\\CTDVDDET.EXE"
"CTSysVol"="C:\\Programme\\Creative\\SBAudigy4\\Surround Mixer\\CTSysVol.exe /r"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"PPMemCheck"="C:\\PROGRA~1\\PESTPA~1\\PPMemCheck.exe"
"CookiePatrol"="C:\\PROGRA~1\\PESTPA~1\\CookiePatrol.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,cb,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,00,02,00,00,2f,00,00,00,e0,00,00,00,ce,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"nlsf"=hex(2):63,6d,64,2e,65,78,65,20,2f,43,20,6d,6f,76,65,20,2f,59,20,22,25,\
53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,79,73,73,\
65,74,75,62,2e,64,6c,6c,22,20,22,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,\
79,73,74,65,6d,33,32,5c,73,79,73,73,65,74,75,70,2e,64,6c,6c,22,00
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"nlsf"=hex(2):63,6d,64,2e,65,78,65,20,2f,43,20,6d,6f,76,65,20,2f,59,20,22,25,\
53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,79,73,73,\
65,74,75,62,2e,64,6c,6c,22,20,22,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,\
79,73,74,65,6d,33,32,5c,73,79,73,73,65,74,75,70,2e,64,6c,6c,22,00
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"wininet.dll"=""

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AsioReg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="REGSVR32"
"hkey"="HKLM"
"command"="REGSVR32.EXE /S CTASIO.DLL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DaemonTools_WhenUSaveNow_Installer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DaemonTools_WhenUSaveNow_Installer"
"hkey"="HKLM"
"command"="C:\\Programme\\DaemonTools_WhenUSaveNow_Installer\\DaemonTools_WhenUSaveNow_Installer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DevconDefaultDB]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="READREG /SILENT /FAIL=1"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\READREG /SILENT /FAIL=1"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VVSN"
"hkey"="HKLM"
"command"="C:\\Programme\\VVSN\\VVSN.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Save"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Save\\Save.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services]
"wscsvc"=dword:00000002
"SharedAccess"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhhe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winghy32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\KDE_3.5_on_SUSE_Linux_10.job

Completion time: 26.09.2006 16:38:35.79
ComboFix.txt


zu 2.:

ich denke ich habe alles so gemacht wie beschrieben, aber ich werde aus irgendeinem grund nicht dazu aufgefordert zu rebooten...und dementsprechend scheint das programm auch nicht die gefundenen dateien zu löschen, welche eine nicht grade geringe zahl darstellen ^^

zu 3:

seite 1 :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 740A-8CA9

Verzeichnis von C:\WINDOWS\system32

26.09.2006 16:56 587.275 ehhkj.ini2
26.09.2006 16:51 1.080 settings.sfm
26.09.2006 16:51 1.080 settingsbkup.sfm
26.09.2006 16:51 11.564 DVCState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx
26.09.2006 16:51 30.924 BMXBkpCtrlState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx
26.09.2006 16:51 30.924 BMXCtrlState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx
26.09.2006 16:51 32.812 BMXStateBkp-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx
26.09.2006 16:51 32.812 BMXState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx
26.09.2006 16:49 1.128.591 ehhkj.bak2
25.09.2006 16:17 2.206 wpa.dbl
17.09.2006 21:21 106.516 qgyvdjcg.dll
17.09.2006 21:21 1.218.844 ehhkj.bak1
05.09.2006 19:14 106.516 vayumrat.dll
28.08.2006 21:10 143 mcrh.tmp
20.08.2006 11:58 8.891 jupdate-1.5.0_08-b03.log
19.08.2006 14:04 43.520 CmdLineExt03.dll
17.08.2006 17:24 13.844 smdfhnjo.exe
26.07.2006 03:03 127.078 javaws.exe
26.07.2006 03:03 49.265 jpicpl32.cpl
26.07.2006 01:26 53.346 javaw.exe
26.07.2006 01:25 49.248 java.exe
12.07.2006 18:48 98.324 xrfuawrm.dll
26.06.2006 12:12 587.211 ehhkj.tmp
26.06.2006 06:20 587.387 ehhkj.ini
25.06.2006 19:18 98.304 CmdLineExt.dll
16.06.2006 06:09 569.396 jkhhe.dll
15.06.2006 13:40 39.437 opnklji.dll
12.06.2006 16:04 57.384 avsda.dll

seite 2:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 740A-8CA9

Verzeichnis von C:\DOKUME~1\Alien\LOKALE~1\Temp

26.09.2006 16:54 16.384 Perflib_Perfdata_d38.dat
26.09.2006 16:54 16.384 Perflib_Perfdata_ac4.dat
26.09.2006 16:53 16.384 Perflib_Perfdata_240.dat
26.09.2006 16:49 45.505 wjpxodaf.dll
26.09.2006 16:49 143.360 htrkyssf.exe
26.09.2006 16:48 173 jusched.log
05.11.2002 15:16 647 Skin.ini
7 Datei(en) 238.837 Bytes
0 Verzeichnis(se), 3.501.588.480 Bytes frei

seite 3:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 740A-8CA9

Verzeichnis von C:\WINDOWS

26.09.2006 16:53 419.241 WindowsUpdate.log
26.09.2006 16:53 0 0.log
26.09.2006 16:53 159 wiadebug.log
26.09.2006 16:52 50 wiaservc.log
26.09.2006 16:52 4.958.588 {00000002-00000000-00000007-00001102-00000008-10211102}.CDF
26.09.2006 16:51 2.048 bootstat.dat
26.09.2006 16:50 32.086 SchedLgU.Txt
26.09.2006 16:50 4.958.588 {00000002-00000000-00000007-00001102-00000008-10211102}.BAK
26.09.2006 16:35 155 winamp.ini
25.09.2006 17:10 49 NeroDigital.ini
25.09.2006 16:32 567.660 setupapi.log
17.09.2006 08:22 1.409 QTFont.for
17.09.2006 08:22 54.156 QTFont.qfn
12.09.2006 18:21 549 win.ini
12.09.2006 18:21 327 system.ini
09.09.2006 10:33 199.427 DirectX.log
01.09.2006 03:21 11.439.946 dp2_log.txt
28.08.2006 22:42 1.004 ATICIM.INI
28.08.2006 20:01 269 lexstat.ini
06.08.2006 16:03 3.518 mozver.dat
06.08.2006 16:01 189 wininit.ini
01.07.2006 23:29 61.283 wmsetup.log
13.06.2006 20:31 23 BlendSettings.ini

und seite 4:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 740A-8CA9

Verzeichnis von C:\

26.09.2006 16:57 0 sys.txt
26.09.2006 16:57 6.212 system.txt
26.09.2006 16:57 624 systemtemp.txt
26.09.2006 16:57 105.678 system32.txt
26.09.2006 16:51 536.399.872 hiberfil.sys
26.09.2006 16:51 805.306.368 pagefile.sys
26.09.2006 16:38 11.546 ComboFix.txt
30.08.2006 19:32 2.560 upd.exe
20.08.2006 11:49 211 boot.ini
15.07.2006 16:56 8.412 Pokemon Feuerrot (G).clt
30.06.2006 18:50 647 LSM drk.txt


schonmal besten dank für die hilfe ;)

greetz Alien
Dieser Beitrag wurde am 26.09.2006 um 17:01 Uhr von Aliennod editiert.
Seitenanfang Seitenende
26.09.2006, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Aliennod

**
wende Vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

**
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhhe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winghy32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DaemonTools_WhenUSaveNow_Installer

Files to delete:
C:\WINDOWS\system32\ehhkj.ini2
C:\WINDOWS\system32\ehhkj.bak2
C:\WINDOWS\system32\qgyvdjcg.dll
C:\WINDOWS\system32\ehhkj.bak1
C:\WINDOWS\system32\vayumrat.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\smdfhnjo.exe
C:\WINDOWS\system32\xrfuawrm.dll
C:\WINDOWS\system32\ehhkj.tmp
C:\WINDOWS\system32\ehhkj.ini
C:\WINDOWS\system32\jkhhe.dll
C:\WINDOWS\system32\opnklji.dll
C:\upd.exe
C:\Dokumente und Einstellungen\Alien\Lokale Einstellungen\Temp\wjpxodaf.dll
C:\Dokumente und Einstellungen\Alien\Lokale Einstellungen\Temp\htrkyssf.exe

Folders to delete:
C:\Programme\DAEMON Tools
C:\Programme\SpywareBot
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O15 - Trusted Zone: http://locator.cdn.imageservr.com
PC neustarten

**
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
scanne mit counterspy, stelle nach dem scan alles auf "remove" und poste den report
http://virus-protect.org/counterspy.html

+ poste das neue Log vom HijackThis

-----------

SpywareBot
http://virus-protect.org/artikel/spyware/spywarebot.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 12:33
Member

Beiträge: 29
#21 Vundofix, ich denke mal, erfolgreich ausgeführt ^^

~~~

hier das log vom avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jgfmcgwf

*******************

Script file located at: \??\C:\WINDOWS\qtdvbprv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ehhkj.ini2 deleted successfully.
File C:\WINDOWS\system32\ehhkj.bak2 deleted successfully.


File C:\WINDOWS\system32\qgyvdjcg.dll not found!
Deletion of file C:\WINDOWS\system32\qgyvdjcg.dll failed!

Could not process line:
C:\WINDOWS\system32\qgyvdjcg.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ehhkj.bak1 deleted successfully.


File C:\WINDOWS\system32\vayumrat.dll not found!
Deletion of file C:\WINDOWS\system32\vayumrat.dll failed!

Could not process line:
C:\WINDOWS\system32\vayumrat.dll
Status: 0xc0000034

File C:\WINDOWS\system32\mcrh.tmp deleted successfully.


File C:\WINDOWS\system32\smdfhnjo.exe not found!
Deletion of file C:\WINDOWS\system32\smdfhnjo.exe failed!

Could not process line:
C:\WINDOWS\system32\smdfhnjo.exe
Status: 0xc0000034

File C:\WINDOWS\system32\xrfuawrm.dll deleted successfully.
File C:\WINDOWS\system32\ehhkj.tmp deleted successfully.
File C:\WINDOWS\system32\ehhkj.ini deleted successfully.
File C:\WINDOWS\system32\jkhhe.dll deleted successfully.


File C:\WINDOWS\system32\opnklji.dll not found!
Deletion of file C:\WINDOWS\system32\opnklji.dll failed!

Could not process line:
C:\WINDOWS\system32\opnklji.dll
Status: 0xc0000034

File C:\upd.exe deleted successfully.
File C:\Dokumente und Einstellungen\Alien\Lokale Einstellungen\Temp\wjpxodaf.dll deleted successfully.
File C:\Dokumente und Einstellungen\Alien\Lokale Einstellungen\Temp\htrkyssf.exe deleted successfully.
Folder C:\Programme\DAEMON Tools deleted successfully.
Folder C:\Programme\SpywareBot deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhhe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winghy32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DaemonTools_WhenUSaveNow_Installer deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

~~~~

neue startseite mit den vorherigen schritten ausgeführt, sowie eingerichtet.

~~~~

neue log vom HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 12:34:38, on 27.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Razer\razerhid.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
C:\Programme\Razer\razertra.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alien\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {D4CA844B-BB90-451D-9A8C-CD13107D55A6} - C:\WINDOWS\system32\jkhhe.dll (file missing)
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

~~~~

counterspy report folgt in kürze, und hier ist er ^^

Spyware Scan Details
Start Date: 27.09.2006 12:49:13
End Date: 27.09.2006 13:18:45
Total Time: 29 mins 32 secs

Detected spyware

BearShare P2P Program more information...
Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Ignored

Infected files detected
c:\programme\bearshare\armaccess.dll
c:\programme\bearshare\bearshare.dat
c:\programme\bearshare\bearshare.exe
c:\programme\bearshare\bsidle.dll
c:\programme\bearshare\digerati.nfo
c:\programme\bearshare\freepeers.ini
c:\programme\bearshare\license.lic
c:\programme\bearshare\runmsc.dll
c:\programme\bearshare\unwise.exe
c:\programme\bearshare\unwise.ini
c:\programme\bearshare\webstats.bat
c:\programme\bearshare\webstats.exe
c:\programme\bearshare\webstats.ini
c:\programme\bearshare\db\config.bin
c:\programme\bearshare\db\connect.txt
c:\programme\bearshare\db\gwebcache.dat
c:\programme\bearshare\db\hostiles-chat.txt
c:\programme\bearshare\db\hostiles.txt
c:\programme\bearshare\db\library.2.db
c:\programme\bearshare\db\library.2.db.lastgoodload.bak
c:\programme\bearshare\db\library.db
c:\programme\bearshare\db\library.db.lastgoodload.bak
c:\programme\bearshare\db\searches.ini
c:\programme\bearshare\logs\hosts-state.txt
c:\programme\bearshare\logs\memory.txt
c:\programme\bearshare\logs\ordinal.txt
c:\programme\bearshare\logs\streams.txt
c:\programme\bearshare\my downloads\silbermond das beste(1).mp3
c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.dat
c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.dat.bak
c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.exe
c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.tiger
c:\dokumente und einstellungen\all users\startmenü\programme\bearshare.lnk

Infected registry entries detected
HKEY_CLASSES_ROOT\gnufile
HKEY_CLASSES_ROOT\gnufile\shell\open\command "C:\Programme\BearShare\\BearShare.exe" "%1"
HKEY_CLASSES_ROOT\gnufile gnutella
HKEY_CLASSES_ROOT\gnufile BrowserFlags 8
HKEY_CLASSES_ROOT\gnufile EditFlags 65536
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current C:\Programme\BearShare\sounds\notify.wav
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare BearShare
HKEY_LOCAL_MACHINE\software\bearshare
HKEY_LOCAL_MACHINE\software\bearshare InstallDir C:\Programme\BearShare\
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayName BearShare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare UninstallString C:\PROGRA~1\BEARSH~1\\UNWISE.EXE C:\PROGRA~1\BEARSH~1\\INSTALL.LOG
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayVersion 5.2.1.2DE
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare HelpLink http://bearshare.de/Help/index.htm
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare Publisher Free Peers, Inc.
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare URLInfoAbout http://www.freepeers.com
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayIcon C:\Programme\BearShare\\BearShare.exe,-128
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_USERS\.default\appevents\schemes\apps\bearshare
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current C:\Programme\BearShare\sounds\notify.wav
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_USERS\.default\appevents\schemes\apps\bearshare BearShare
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32 %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} WebView tree item callback object for sysdm.cpl
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} jrkD aKdWoazioMzWnBnCl_lf}iIggc
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} thNFobjk `V{IXZhcYQdxr[`BxuhaEiaVd
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} pEwfqzX u]WtC|MW~UHAIRrPXqh`a
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} mTqix \YBwLRSUvLVH~Ith|iRj
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} cfcBxu Rbptk^slSW@NHB]HvWd@w`~HRX
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} IxyogopO CKkBHsg@VaWdPPrck`bq
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} KdkCdfNat IbL}R|evZUUAZyhvd
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} jPfqGf Psd[yLULJFqCWqa\ec`ApbcWF|UTKB
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} bZgmkmwjBLo tKe~SzN@yOwfI[bFh^}s`k
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} cAOh rka^GutuqCyrFCn|O
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} prKHmmrTmAUfm XubMQYcBMl]OCKb}oICa
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} HqmqeMA yqM|JjTLX\CRz{TKYNs^[J[{]\DZP
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} ntgrTddykpgj ujnH\Yu`Hf_KwFJOQH[GRmfXI
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} jWcssfunvid BLI\Dh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Version 5,2,1,2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} ComponentID BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} IsInstalled 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Locale DE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare Changed 0


DesktopScam Trojan Downloader more information...
Details: DesktopScam is a trojan that is downloaded with rogue security applicatons in order to frighten the affected user into purchasing the rogue program.
Status: Deleted

Infected files detected
c:\windows\system32\1024\ld1006.tmp
c:\windows\system32\1024\ld1043.tmp
c:\windows\system32\1024\ld1054.tmp
c:\windows\system32\1024\ld1070.tmp
c:\windows\system32\1024\ld114b.tmp
c:\windows\system32\1024\ld123d.tmp
c:\windows\system32\1024\ld1240.tmp
c:\windows\system32\1024\ld1289.tmp
c:\windows\system32\1024\ld129.tmp
c:\windows\system32\1024\ld129f.tmp
c:\windows\system32\1024\ld1381.tmp
c:\windows\system32\1024\ld13b9.tmp
c:\windows\system32\1024\ld14a7.tmp
c:\windows\system32\1024\ld15f0.tmp
c:\windows\system32\1024\ld16c5.tmp
c:\windows\system32\1024\ld189d.tmp
c:\windows\system32\1024\ld191a.tmp
c:\windows\system32\1024\ld1952.tmp
c:\windows\system32\1024\ld195c.tmp
c:\windows\system32\1024\ld19d7.tmp
c:\windows\system32\1024\ld1a6c.tmp
c:\windows\system32\1024\ld1a7f.tmp
c:\windows\system32\1024\ld1b80.tmp
c:\windows\system32\1024\ld1c07.tmp
c:\windows\system32\1024\ld1d3b.tmp
c:\windows\system32\1024\ld1e0f.tmp
c:\windows\system32\1024\ld1eab.tmp
c:\windows\system32\1024\ld1f1c.tmp
c:\windows\system32\1024\ld1f6f.tmp
c:\windows\system32\1024\ld1f85.tmp
c:\windows\system32\1024\ld1fd1.tmp
c:\windows\system32\1024\ld1fe2.tmp
c:\windows\system32\1024\ld20c7.tmp
c:\windows\system32\1024\ld2149.tmp
c:\windows\system32\1024\ld215f.tmp
c:\windows\system32\1024\ld2192.tmp
c:\windows\system32\1024\ld23d6.tmp
c:\windows\system32\1024\ld254f.tmp
c:\windows\system32\1024\ld25df.tmp
c:\windows\system32\1024\ld268d.tmp
c:\windows\system32\1024\ld26b6.tmp
c:\windows\system32\1024\ld2842.tmp
c:\windows\system32\1024\ld2889.tmp
c:\windows\system32\1024\ld29a6.tmp
c:\windows\system32\1024\ld2ad2.tmp
c:\windows\system32\1024\ld2b1e.tmp
c:\windows\system32\1024\ld2b26.tmp
c:\windows\system32\1024\ld2bdc.tmp
c:\windows\system32\1024\ld2c1c.tmp
c:\windows\system32\1024\ld2c72.tmp
c:\windows\system32\1024\ld2c99.tmp
c:\windows\system32\1024\ld2eb9.tmp
c:\windows\system32\1024\ld2ed9.tmp
c:\windows\system32\1024\ld2efb.tmp
c:\windows\system32\1024\ld2f53.tmp
c:\windows\system32\1024\ld2fe6.tmp
c:\windows\system32\1024\ld30fd.tmp
c:\windows\system32\1024\ld313a.tmp
c:\windows\system32\1024\ld3217.tmp
c:\windows\system32\1024\ld323e.tmp
c:\windows\system32\1024\ld3297.tmp
c:\windows\system32\1024\ld32b0.tmp
c:\windows\system32\1024\ld34e5.tmp
c:\windows\system32\1024\ld350c.tmp
c:\windows\system32\1024\ld3511.tmp
c:\windows\system32\1024\ld352d.tmp
c:\windows\system32\1024\ld35ea.tmp
c:\windows\system32\1024\ld361f.tmp
c:\windows\system32\1024\ld3690.tmp
c:\windows\system32\1024\ld3745.tmp
c:\windows\system32\1024\ld37de.tmp
c:\windows\system32\1024\ld3851.tmp
c:\windows\system32\1024\ld3876.tmp
c:\windows\system32\1024\ld39d7.tmp
c:\windows\system32\1024\ld3a6d.tmp
c:\windows\system32\1024\ld3b58.tmp
c:\windows\system32\1024\ld3c36.tmp
c:\windows\system32\1024\ld3d44.tmp
c:\windows\system32\1024\ld3d4f.tmp
c:\windows\system32\1024\ld3ead.tmp
c:\windows\system32\1024\ld3f68.tmp
c:\windows\system32\1024\ld3f8e.tmp
c:\windows\system32\1024\ld404f.tmp
c:\windows\system32\1024\ld406b.tmp
c:\windows\system32\1024\ld40fe.tmp
c:\windows\system32\1024\ld4234.tmp
c:\windows\system32\1024\ld4380.tmp
c:\windows\system32\1024\ld43fd.tmp
c:\windows\system32\1024\ld4427.tmp
c:\windows\system32\1024\ld44d4.tmp
c:\windows\system32\1024\ld468a.tmp
c:\windows\system32\1024\ld4692.tmp
c:\windows\system32\1024\ld47a.tmp
c:\windows\system32\1024\ld47b5.tmp
c:\windows\system32\1024\ld47b8.tmp
c:\windows\system32\1024\ld48e7.tmp
c:\windows\system32\1024\ld49.tmp
c:\windows\system32\1024\ld4916.tmp
c:\windows\system32\1024\ld4930.tmp
c:\windows\system32\1024\ld49f6.tmp
c:\windows\system32\1024\ld49f8.tmp
c:\windows\system32\1024\ld4aef.tmp
c:\windows\system32\1024\ld4c90.tmp
c:\windows\system32\1024\ld4d39.tmp
c:\windows\system32\1024\ld4def.tmp
c:\windows\system32\1024\ld4f43.tmp
c:\windows\system32\1024\ld4f4e.tmp
c:\windows\system32\1024\ld4f78.tmp
c:\windows\system32\1024\ld4f91.tmp
c:\windows\system32\1024\ld4fc5.tmp
c:\windows\system32\1024\ld500.tmp
c:\windows\system32\1024\ld50bd.tmp
c:\windows\system32\1024\ld50fd.tmp
c:\windows\system32\1024\ld515d.tmp
c:\windows\system32\1024\ld51d1.tmp
c:\windows\system32\1024\ld51f7.tmp
c:\windows\system32\1024\ld525f.tmp
c:\windows\system32\1024\ld52b1.tmp
c:\windows\system32\1024\ld53ba.tmp
c:\windows\system32\1024\ld53e9.tmp
c:\windows\system32\1024\ld5535.tmp
c:\windows\system32\1024\ld5541.tmp
c:\windows\system32\1024\ld5631.tmp
c:\windows\system32\1024\ld56a7.tmp
c:\windows\system32\1024\ld573a.tmp
c:\windows\system32\1024\ld58d0.tmp
c:\windows\system32\1024\ld5a25.tmp
c:\windows\system32\1024\ld5a64.tmp
c:\windows\system32\1024\ld5a78.tmp
c:\windows\system32\1024\ld5a8.tmp
c:\windows\system32\1024\ld5ab0.tmp
c:\windows\system32\1024\ld5abb.tmp
c:\windows\system32\1024\ld5b2f.tmp
c:\windows\system32\1024\ld5ca3.tmp
c:\windows\system32\1024\ld5d98.tmp
c:\windows\system32\1024\ld5e61.tmp
c:\windows\system32\1024\ld5ed5.tmp
c:\windows\system32\1024\ld60a5.tmp
c:\windows\system32\1024\ld60b9.tmp
c:\windows\system32\1024\ld60de.tmp
c:\windows\system32\1024\ld610e.tmp
c:\windows\system32\1024\ld611c.tmp
c:\windows\system32\1024\ld6146.tmp
c:\windows\system32\1024\ld61a5.tmp
c:\windows\system32\1024\ld6264.tmp
c:\windows\system32\1024\ld6302.tmp
c:\windows\system32\1024\ld636b.tmp
c:\windows\system32\1024\ld6397.tmp
c:\windows\system32\1024\ld640f.tmp
c:\windows\system32\1024\ld6411.tmp
c:\windows\system32\1024\ld6438.tmp
c:\windows\system32\1024\ld6475.tmp
c:\windows\system32\1024\ld6520.tmp
c:\windows\system32\1024\ld65fb.tmp
c:\windows\system32\1024\ld6626.tmp
c:\windows\system32\1024\ld66e9.tmp
c:\windows\system32\1024\ld6759.tmp
c:\windows\system32\1024\ld67e0.tmp
c:\windows\system32\1024\ld6823.tmp
c:\windows\system32\1024\ld69ab.tmp
c:\windows\system32\1024\ld69f2.tmp
c:\windows\system32\1024\ld6b5d.tmp
c:\windows\system32\1024\ld6c38.tmp
c:\windows\system32\1024\ld6d47.tmp
c:\windows\system32\1024\ld6da4.tmp
c:\windows\system32\1024\ld6dc3.tmp
c:\windows\system32\1024\ld6f6a.tmp
c:\windows\system32\1024\ld70a1.tmp
c:\windows\system32\1024\ld70b9.tmp
c:\windows\system32\1024\ld71ad.tmp
c:\windows\system32\1024\ld71c6.tmp
c:\windows\system32\1024\ld7246.tmp
c:\windows\system32\1024\ld7255.tmp
c:\windows\system32\1024\ld7274.tmp
c:\windows\system32\1024\ld7329.tmp
c:\windows\system32\1024\ld7478.tmp
c:\windows\system32\1024\ld74fd.tmp
c:\windows\system32\1024\ld760c.tmp
c:\windows\system32\1024\ld7652.tmp
c:\windows\system32\1024\ld766.tmp
c:\windows\system32\1024\ld7689.tmp
c:\windows\system32\1024\ld769.tmp
c:\windows\system32\1024\ld76a6.tmp
c:\windows\system32\1024\ld76b7.tmp
c:\windows\system32\1024\ld76f0.tmp
c:\windows\system32\1024\ld7743.tmp
c:\windows\system32\1024\ld7789.tmp
c:\windows\system32\1024\ld7882.tmp
c:\windows\system32\1024\ld7891.tmp
c:\windows\system32\1024\ld7927.tmp
c:\windows\system32\1024\ld792c.tmp
c:\windows\system32\1024\ld7aae.tmp
c:\windows\system32\1024\ld7b78.tmp
c:\windows\system32\1024\ld7c2b.tmp
c:\windows\system32\1024\ld7c50.tmp
c:\windows\system32\1024\ld7d2d.tmp
c:\windows\system32\1024\ld7e6f.tmp
c:\windows\system32\1024\ld7eb0.tmp
c:\windows\system32\1024\ld7fa3.tmp
c:\windows\system32\1024\ld7fc6.tmp
c:\windows\system32\1024\ld81ab.tmp
c:\windows\system32\1024\ld81c2.tmp
c:\windows\system32\1024\ld82d5.tmp
c:\windows\system32\1024\ld839.tmp
c:\windows\system32\1024\ld83ac.tmp
c:\windows\system32\1024\ld84cb.tmp
c:\windows\system32\1024\ld8586.tmp
c:\windows\system32\1024\ld862a.tmp
c:\windows\system32\1024\ld86ab.tmp
c:\windows\system32\1024\ld87a9.tmp
c:\windows\system32\1024\ld87cf.tmp
c:\windows\system32\1024\ld880b.tmp
c:\windows\system32\1024\ld8857.tmp
c:\windows\system32\1024\ld890f.tmp
c:\windows\system32\1024\ld89aa.tmp
c:\windows\system32\1024\ld8a7e.tmp
c:\windows\system32\1024\ld8b7.tmp
c:\windows\system32\1024\ld8ca.tmp
c:\windows\system32\1024\ld8cb0.tmp
c:\windows\system32\1024\ld8d43.tmp
c:\windows\system32\1024\ld8e05.tmp
c:\windows\system32\1024\ld8e1c.tmp
c:\windows\system32\1024\ld8e2c.tmp
c:\windows\system32\1024\ld8e55.tmp
c:\windows\system32\1024\ld8fe7.tmp
c:\windows\system32\1024\ld9024.tmp
c:\windows\system32\1024\ld9036.tmp
c:\windows\system32\1024\ld910e.tmp
c:\windows\system32\1024\ld9138.tmp
c:\windows\system32\1024\ld9204.tmp
c:\windows\system32\1024\ld926e.tmp
c:\windows\system32\1024\ld92f2.tmp
c:\windows\system32\1024\ld937f.tmp
c:\windows\system32\1024\ld93e4.tmp
c:\windows\system32\1024\ld947a.tmp
c:\windows\system32\1024\ld94a1.tmp
c:\windows\system32\1024\ld95e4.tmp
c:\windows\system32\1024\ld9691.tmp
c:\windows\system32\1024\ld96fc.tmp
c:\windows\system32\1024\ld97e2.tmp
c:\windows\system32\1024\ld986b.tmp
c:\windows\system32\1024\ld9916.tmp
c:\windows\system32\1024\ld9936.tmp
c:\windows\system32\1024\ld99e7.tmp
c:\windows\system32\1024\ld9aae.tmp
c:\windows\system32\1024\ld9b20.tmp
c:\windows\system32\1024\ld9c3d.tmp
c:\windows\system32\1024\ld9c4f.tmp
c:\windows\system32\1024\ld9d96.tmp
c:\windows\system32\1024\ld9ef0.tmp
c:\windows\system32\1024\ld9f2d.tmp
c:\windows\system32\1024\ld9fcb.tmp
c:\windows\system32\1024\lda05e.tmp
c:\windows\system32\1024\lda1db.tmp
c:\windows\system32\1024\lda1ea.tmp
c:\windows\system32\1024\lda3a8.tmp
c:\windows\system32\1024\lda3b7.tmp
c:\windows\system32\1024\lda404.tmp
c:\windows\system32\1024\lda56b.tmp
c:\windows\system32\1024\lda5cc.tmp
c:\windows\system32\1024\lda5f0.tmp
c:\windows\system32\1024\lda606.tmp
c:\windows\system32\1024\lda63c.tmp
c:\windows\system32\1024\lda798.tmp
c:\windows\system32\1024\lda7aa.tmp
c:\windows\system32\1024\lda7e8.tmp
c:\windows\system32\1024\lda872.tmp
c:\windows\system32\1024\lda939.tmp
c:\windows\system32\1024\ldaabf.tmp
c:\windows\system32\1024\ldab3a.tmp
c:\windows\system32\1024\ldac6.tmp
c:\windows\system32\1024\ldac7e.tmp
c:\windows\system32\1024\ldad52.tmp
c:\windows\system32\1024\ldad68.tmp
c:\windows\system32\1024\ldadd3.tmp
c:\windows\system32\1024\ldade6.tmp
c:\windows\system32\1024\ldae67.tmp
c:\windows\system32\1024\ldaf08.tmp
c:\windows\system32\1024\ldafd8.tmp
c:\windows\system32\1024\ldafe.tmp
c:\windows\system32\1024\ldb00.tmp
c:\windows\system32\1024\ldb16.tmp
c:\windows\system32\1024\ldb1e3.tmp
c:\windows\system32\1024\ldb2f2.tmp
c:\windows\system32\1024\ldb3d3.tmp
c:\windows\system32\1024\ldb484.tmp
c:\windows\system32\1024\ldb5.tmp
c:\windows\system32\1024\ldb674.tmp
c:\windows\system32\1024\ldb707.tmp
c:\windows\system32\1024\ldb74d.tmp
c:\windows\system32\1024\ldb895.tmp
c:\windows\system32\1024\ldb910.tmp
c:\windows\system32\1024\ldb94e.tmp
c:\windows\system32\1024\ldba32.tmp
c:\windows\system32\1024\ldbb59.tmp
c:\windows\system32\1024\ldbbfd.tmp
c:\windows\system32\1024\ldbc72.tmp
c:\windows\system32\1024\ldbe4.tmp
c:\windows\system32\1024\ldbe4d.tmp
c:\windows\system32\1024\ldbebe.tmp
c:\windows\system32\1024\ldbf0e.tmp
c:\windows\system32\1024\ldbfa6.tmp
c:\windows\system32\1024\ldbfc3.tmp
c:\windows\system32\1024\ldc0fb.tmp
c:\windows\system32\1024\ldc112.tmp
c:\windows\system32\1024\ldc229.tmp
c:\windows\system32\1024\ldc2af.tmp
c:\windows\system32\1024\ldc327.tmp
c:\windows\system32\1024\ldc4ad.tmp
c:\windows\system32\1024\ldc4ed.tmp
c:\windows\system32\1024\ldc559.tmp
c:\windows\system32\1024\ldc5b1.tmp
c:\windows\system32\1024\ldc938.tmp
c:\windows\system32\1024\ldc9c5.tmp
c:\windows\system32\1024\ldc9d3.tmp
c:\windows\system32\1024\ldca1b.tmp
c:\windows\system32\1024\ldcbc4.tmp
c:\windows\system32\1024\ldcbce.tmp
c:\windows\system32\1024\ldccd4.tmp
c:\windows\system32\1024\ldcd65.tmp
c:\windows\system32\1024\ldcde8.tmp
c:\windows\system32\1024\ldcf77.tmp
c:\windows\system32\1024\ldd017.tmp
c:\windows\system32\1024\ldd050.tmp
c:\windows\system32\1024\ldd067.tmp
c:\windows\system32\1024\ldd0db.tmp
c:\windows\system32\1024\ldd26c.tmp
c:\windows\system32\1024\ldd2c6.tmp
c:\windows\system32\1024\ldd379.tmp
c:\windows\system32\1024\ldd625.tmp
c:\windows\system32\1024\ldd639.tmp
c:\windows\system32\1024\ldd6b0.tmp
c:\windows\system32\1024\ldd6ca.tmp
c:\windows\system32\1024\ldd73.tmp
c:\windows\system32\1024\ldd777.tmp
c:\windows\system32\1024\ldd828.tmp
c:\windows\system32\1024\ldd8b.tmp
c:\windows\system32\1024\ldd958.tmp
c:\windows\system32\1024\lddbb8.tmp
c:\windows\system32\1024\lddbc0.tmp
c:\windows\system32\1024\lddc04.tmp
c:\windows\system32\1024\lddc4b.tmp
c:\windows\system32\1024\lddc62.tmp
c:\windows\system32\1024\lddcec.tmp
c:\windows\system32\1024\lddeaf.tmp
c:\windows\system32\1024\lddff.tmp
c:\windows\system32\1024\lde05d.tmp
c:\windows\system32\1024\lde170.tmp
c:\windows\system32\1024\lde1c8.tmp
c:\windows\system32\1024\lde281.tmp
c:\windows\system32\1024\lde2c7.tmp
c:\windows\system32\1024\lde340.tmp
c:\windows\system32\1024\lde348.tmp
c:\windows\system32\1024\lde34c.tmp
c:\windows\system32\1024\lde3ee.tmp
c:\windows\system32\1024\lde482.tmp
c:\windows\system32\1024\lde62c.tmp
c:\windows\system32\1024\lde778.tmp
c:\windows\system32\1024\lde78b.tmp
c:\windows\system32\1024\lde79d.tmp
c:\windows\system32\1024\lde7d2.tmp
c:\windows\system32\1024\lde950.tmp
c:\windows\system32\1024\lde999.tmp
c:\windows\system32\1024\ldea7e.tmp
c:\windows\system32\1024\ldea80.tmp
c:\windows\system32\1024\ldec4e.tmp
c:\windows\system32\1024\ldeca8.tmp
c:\windows\system32\1024\lded2e.tmp
c:\windows\system32\1024\lded73.tmp
c:\windows\system32\1024\lded8.tmp
c:\windows\system32\1024\lded8a.tmp
c:\windows\system32\1024\ldee14.tmp
c:\windows\system32\1024\ldeea1.tmp
c:\windows\system32\1024\ldef1a.tmp
c:\windows\system32\1024\ldef2f.tmp
c:\windows\system32\1024\ldf05f.tmp
c:\windows\system32\1024\ldf195.tmp
c:\windows\system32\1024\ldf1d7.tmp
c:\windows\system32\1024\ldf2d6.tmp
c:\windows\system32\1024\ldf2f3.tmp
c:\windows\system32\1024\ldf352.tmp
c:\windows\system32\1024\ldf38a.tmp
c:\windows\system32\1024\ldf42.tmp
c:\windows\system32\1024\ldf461.tmp
c:\windows\system32\1024\ldf5ca.tmp
c:\windows\system32\1024\ldf6df.tmp
c:\windows\system32\1024\ldf752.tmp
c:\windows\system32\1024\ldf764.tmp
c:\windows\system32\1024\ldf8bf.tmp
c:\windows\system32\1024\ldf8c5.tmp
c:\windows\system32\1024\ldf998.tmp
c:\windows\system32\1024\ldfa48.tmp
c:\windows\system32\1024\ldfa59.tmp
c:\windows\system32\1024\ldfacc.tmp
c:\windows\system32\1024\ldfb0f.tmp
c:\windows\system32\1024\ldfbf6.tmp
c:\windows\system32\1024\ldfd42.tmp
c:\windows\system32\1024\ldfda0.tmp
c:\windows\system32\1024\ldfde8.tmp
c:\windows\system32\1024\ldfe1.tmp
c:\windows\system32\1024\ldfea2.tmp
c:\windows\system32\1024\ldfee9.tmp
c:\windows\system32\1024\ldffd4.tmp

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run wininet.dll


MasMinutos Porn Dialer more information...
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\Alien\favoriten\~ vip free porn ~.url


WinFixer Rogue Security Program more information...
Details: WinFixer is a disabled data repair utility that nags the user to purchase it in order to fix the problems reported in its scan.
Status: Deleted

Infected files detected
c:\windows\downloaded program files\uwa6p_0001_n91m1807netinstaller.exe


WhenU.Save Adware (General) more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Deleted

Infected files detected
C:\Programme\BearShare\RunMSC.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\clsid
HKEY_CLASSES_ROOT\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\curver
HKEY_CLASSES_ROOT\runmsc.loader\curver RunMSC.Loader.1
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg DisplayName WhenU Save
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg DisplayIcon C:\Programme\Save\save.exe,1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg DisplayVersion 3.60
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg HelpLink http://www.whenu.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg UrlInfoAbout http://www.whenu.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg Publisher WhenU.com, Inc.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg UninstallString "C:\Programme\Save\SaveUninst.exe" /w /d"WhenU Save"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WhenUSaveMsg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WhenUSaveMsg SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WhenUSaveMsg Changed 0


Trojan-Downloader.Gen Trojan Downloader more information...
Details: Trojan-Downloader.Gen is a group of Trojan Downloaders which install download and install multiple unwanted applications of adware and malware from remote servers.
Status: Deleted

Infected files detected
C:\VundoFix Backups\opnklji.dll.bad


CoolWebSearch.CameUp Hijacker more information...
Details: CoolWebSearch.CameUp is an adware application that hijacks the user's Internet Explorers start page, and prevents the user from changing the URL back to their preferred homepage.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Search Page_bak


ClickSpring.PuritySCAN Adware (General) more information...
Details: PurityScan is an ad supported program that scans the user's Internet Explorer files, including browser cache, cookies and history for pornographic/adult related words and allows the user to delete them.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin DisplayName Yazzle by OIN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin UninstallString "C:\Programme\Gemeinsame Dateien\Y1123OU.exe"


Cookie: Claria.DashBar Cookie Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\alien\cookies\administrator@belnk[2].txt
c:\dokumente und einstellungen\alien\cookies\alien@belnk[1].txt


Cookie: Ajan 1.0 Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\alien\cookies\administrator@xiti[1].txt


Cookie: ad.yieldmanager Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\alien\cookies\alien@ad.yieldmanager[1].txt
c:\dokumente und einstellungen\alien\cookies\alien@ad.yieldmanager[3].txt


Cookie: PriceBandit Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\alien\cookies\alien@apmebf[1].txt
Dieser Beitrag wurde am 27.09.2006 um 13:26 Uhr von Aliennod editiert.
Seitenanfang Seitenende
27.09.2006, 16:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Aliennod

1.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

2.
scanne mit smitfraudfix (option 1 und 2) - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

3.
fixe mit dem HijackThis:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

O2 - BHO: (no name) - {D4CA844B-BB90-451D-9A8C-CD13107D55A6} - C:\WINDOWS\system32\jkhhe.dll (file missing)

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O15 - Trusted Zone: http://locator.cdn.imageservr.com


PC neustarten

««
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

««
scanne mit panda und mit ewido und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 22:20
Member

Beiträge: 29
#23 1. ausgeführt.

2. werd ich morgen machen, muss ins bett ^^

3. entschuldige vielmals, habe aus Versehen das alte log gepostet, hier das neue:

Logfile of HijackThis v1.99.1
Scan saved at 22:16:49, on 27.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Razer\razerhid.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunServer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Alien\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sclach.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {D4CA844B-BB90-451D-9A8C-CD13107D55A6} - C:\WINDOWS\system32\jkhhe.dll (file missing)
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [CounterSpyCleaner] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunASCleaner.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

neue startseite: öhm, hab ich doch gemacht ;)

die andern beiden scan reports von panda und ewido werde ich ebenfalls morgen nachmittag vorlegen...

greetz and big thanks. Alien
Seitenanfang Seitenende
28.09.2006, 02:58
...neu hier

Beiträge: 4
#24 Hi,
Bin neu hier
Bitte nichts formatieren! Schad drum... Na im Ernst. Ich hab bis gestern das gleiche Problem gehabt. War mir aber zu blöd mit dem abgesicherten Modus. Bitte in WIN32, dll cache gehen und den Störenfried, bei mir hiess er mcjgefc.dll, umbenennen, (muss man manuell machen....kann der AV nicht) z.B. statt dll in dl, wie bei mir. Sclagartig ist der Spuk vorbei, der AV sagt auch nix mehr dazu. Nix löschen, einfach legen lassen. Is natürlich nicht alles weg, aber wo keine dll, da kein ausführbarer code.

Probiers mal, dauert keine 2 Minuten und Du bist den Mist los. Schreib mal bitte über den Erfolg.

Gruss aus Tirol: Peter, crashdump64, oe7psh
Seitenanfang Seitenende
28.09.2006, 09:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Aliennod

Fixe mit dem HijackThis:

O2 - BHO: (no name) - {D4CA844B-BB90-451D-9A8C-CD13107D55A6} - C:\WINDOWS\system32\jkhhe.dll (file missing)

PC neustarten

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 09:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 crashdump64

es waere schoen, wenn die malware nur aus EINER dll bestehen wuerde, leider ist es nicht so und die virenscanner finden nicht alles
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 13:49
...neu hier

Beiträge: 4
#27 Hi, Bitte nicht missverstehen. Es ging in erster Linie um die lästigen meldungen des AV. Ich konnte überhaupt nicht mehr arbeiten und der Explorer ging auch nicht mehr. Um explizit nach Müll zu suchen, muss wenigstens die Maschine wieder laufen. Hab alle möglichen scans gemacht und die Sache scheint clean zu sein. Da fiel mir das alte Hausrezept ein. (Der AV kann ihn nämlich nicht umbenennen, obwohl die Option vorhanden ist, erkennt es anscheinend als Systemdatei). Also ein manueller Eingriff mit durchschlagendem Erfolg. Hat keine 2 Minuten gedauert und alles läuft wieder normal. Jetzt kann man definitiv weitermachen. Die Frage ist nur ob es sinnvoll ist. Sollen ruhig paar Dateileichen rumliegen. Wenn sie nicht ausgeführt werden ist es doch Unsinn, das ganze System zu sezieren......
Keine dll, keine Aktivität, d.h. keine bösartige Action. Das war der Hintergedanke.
Es sollte möglich sein, verdächtige Einträge auch von Hand umzubenennen und zu sehen, wie sich das System verhält. Ob es sinnvoll ist, sei dahingestellt.......

Nicht bös sein, sollte doch keine Kritik sein

Viele Grüsse aus Tirol Crashdump64, oe7psh
Seitenanfang Seitenende
07.10.2006, 21:41
...neu hier

Beiträge: 5
#28 HI leute, hab das gleiche problem . aber ich versteh die Erklärungen nicht

Danke im voraus.

Logfile of HijackThis v1.98.2
Scan saved at 21:31:48, on 07.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\DU Meter\DUMeter.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ipwins\ipwins.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Duc\Desktop\1_98_2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DA09D08-2367-4474-A1C0-B53DBAA542FA} - C:\WINDOWS\System32\gebyx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O21 - SSODL: altmannsberger - {210b4043-35ca-4aa0-8796-191f9663dfb3} - (no file)


danke nochma
Seitenanfang Seitenende
08.10.2006, 09:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 sasuke

0.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Folders to delete:
C:\Programme\ipwins
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 10:27
...neu hier

Beiträge: 5
#30 Zuerst danke ich die, dass du so schnell geantwortest hattest. HIer sind die Schritte:

ZU 1. kopiert dieses Log


ComboFix 06.09.28 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Inetget2
C:\Programme\Gemeinsame Dateien\{B884ED2A-06A4-1031-1016-011018010031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-08 to 2006-10-08 ))))))))))))))))))))))))))))))))))


2006-10-07 21:15 218,112 --a------ C:\WINDOWS\system32\HijackThis.exe
2006-10-06 15:24 2,116,992 --a------ C:\WINDOWS\system32\TUKernel.exe
2006-10-05 14:13 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2006-10-05 13:29 118,272 --a------ C:\WINDOWS\W0190WUn.EXE
2006-10-02 19:42 20,640 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-10-02 19:42 109,568 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-10-02 19:42 108,544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2006-09-29 16:10 0 --a------ C:\WINDOWS\system32\setup_14733.exe
2006-09-26 13:29 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2006-09-23 10:01 0 --a------ C:\WINDOWS\system32\rwnt.exe
2006-09-18 20:11 778,240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-09-18 20:11 778,240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-09-18 20:11 761,856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-09-18 20:11 620,180 --a------ C:\WINDOWS\system32\DivX.dll
2006-09-10 13:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2006-09-10 11:15 212,480 --a------ C:\WINDOWS\pcdlib32.dll
2006-09-10 11:06 50,176 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2006-09-10 11:01 61,440 --a------ C:\WINDOWS\system32\dcccp106.dll
2006-09-10 11:01 45,056 --a------ C:\WINDOWS\system32\vcccp106.dll
2006-09-10 11:01 36,864 --a------ C:\WINDOWS\CleanDev.exe
2006-09-10 11:01 227,200 --a------ C:\WINDOWS\system32\drivers\cccp106.sys
2006-09-10 11:01 192,512 --a------ C:\WINDOWS\select2.exe
2006-09-10 10:55 182,880 --a------ C:\WINDOWS\system32\iuengine.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-08 10:10 992682 ---hs---- C:\WINDOWS\system32\xybeg.ini2
2006-10-08 10:10 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-08 10:09 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-08 10:07 991342 ---hs---- C:\WINDOWS\system32\xybeg.bak2
2006-10-08 10:06 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Skype
2006-10-07 10:25 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\MetaCafe
2006-10-07 09:08 0 --a------ C:\WINDOWS\system32\hqghumea.dll
2006-10-06 22:28 -------- d-------- C:\Programme\Metacafe
2006-10-06 17:06 -------- d-------- C:\Programme\Frikik
2006-10-05 20:00 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Adobe
2006-10-05 14:13 -------- d-------- C:\Programme\QuickTime
2006-10-05 13:37 -------- d-------- C:\Programme\Lavasoft
2006-10-05 13:37 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Lavasoft
2006-10-05 13:30 159769 --a------ C:\WINDOWS\system32\rasapi32.dll
2006-10-05 13:29 -------- d-------- C:\Programme\0190 Warner
2006-10-03 13:18 -------- d---s---- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Microsoft
2006-10-02 20:33 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-02 20:33 -------- d-------- C:\Programme\Windows Media Player
2006-10-02 20:33 -------- d-------- C:\Programme\CyberLink
2006-10-02 19:43 -------- d-------- C:\Programme\DivX
2006-10-01 16:50 -------- d-------- C:\Programme\FlashGet
2006-09-30 18:51 -------- d-------- C:\Programme\TrackMania Nations ESWC
2006-09-30 10:56 -------- d-------- C:\Programme\TrackMania Sunrise
2006-09-26 16:15 259 --a------ C:\WINDOWS\system32\Mswinmask32.dll
2006-09-26 14:24 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-09-26 14:24 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-09-26 14:24 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2006-09-26 13:29 -------- d-------- C:\Programme\SYBEX
2006-09-24 17:54 -------- d-------- C:\Programme\Little Fighter Thunder
2006-09-23 17:30 -------- d-------- C:\Programme\Ricochet
2006-09-23 16:44 -------- d-------- C:\Programme\Black Isle
2006-09-20 16:20 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-09-20 16:18 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-20 16:15 -------- d-------- C:\Programme\Adobe
2006-09-15 16:22 -------- d-------- C:\Programme\ICQToolbar
2006-09-14 22:33 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Borland
2006-09-14 22:23 -------- d-------- C:\Programme\BrainSpeeder
2006-09-14 22:16 -------- d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2006-09-14 21:55 -------- d-------- C:\Programme\Borland
2006-09-14 21:38 -------- d-------- C:\Programme\Microsoft Office
2006-09-14 21:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-14 21:37 -------- d-------- C:\Programme\Microsoft.NET
2006-09-14 21:37 -------- d-------- C:\Programme\Microsoft Visual Studio .NET 2003
2006-09-13 22:23 -------- d-------- C:\Programme\EA GAMES
2006-09-13 20:47 -------- d-------- C:\Programme\Outlook Express
2006-09-13 20:47 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-13 20:47 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-09-13 20:43 -------- d-------- C:\Programme\Internet Explorer
2006-09-13 17:19 -------- d-------- C:\Programme\MSXML 4.0
2006-09-11 16:06 -------- d-------- C:\Programme\CENEGA
2006-09-11 16:05 -------- d-------- C:\Programme\Grandia2
2006-09-11 16:04 -------- d-------- C:\Programme\Black Sheep Studio
2006-09-10 11:35 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\ArcSoft
2006-09-10 11:15 -------- d-------- C:\Programme\ArcSoft
2006-09-10 11:03 -------- d-------- C:\Programme\Aashima
2006-09-10 11:02 -------- d-------- C:\Programme\directx
2006-09-10 10:57 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-09 12:40 -------- d-------- C:\Programme\Skype
2006-09-08 21:40 -------- d-------- C:\Programme\dtp
2006-09-03 09:13 -------- d-------- C:\Programme\Warcraft III
2006-09-01 20:06 -------- d-------- C:\Programme\Kroetenstuhl_Saga
2006-09-01 19:56 -------- d-------- C:\Programme\ASCII
2006-08-30 19:00 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-08-30 19:00 165376 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-08-30 15:16 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\tippfix1_1
2006-08-28 19:54 -------- d-------- C:\Programme\Ashampoo
2006-08-28 18:46 -------- d-------- C:\Programme\TDK
2006-08-28 18:44 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-26 10:09 -------- d-------- C:\Programme\GT Interactive
2006-08-24 16:27 -------- d-------- C:\Programme\Alcohol Soft
2006-08-24 16:10 89984 --a------ C:\WINDOWS\system32\drivers\sptd1437.sys
2006-08-24 16:10 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-08-23 14:30 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\MSN6
2006-08-21 19:51 -------- d-------- C:\Programme\DU Meter
2006-08-18 20:02 -------- d-------- C:\Programme\SlySoft
2006-08-18 19:36 -------- d-------- C:\Programme\ahead
2006-08-18 14:24 13844 --a------ C:\WINDOWS\system32\gshbsitt.exe
2006-08-18 14:12 13844 --a------ C:\WINDOWS\system32\gqosfffl.exe
2006-08-18 13:58 13844 --a------ C:\WINDOWS\system32\wffiblqy.exe
2006-08-17 13:58 12820 --a------ C:\WINDOWS\system32\gnxbgxvm.exe
2006-08-16 11:03 -------- d-------- C:\Programme\ElcomSoft
2006-08-15 19:33 0 --a------ C:\WINDOWS\system32\eraseme_58207.exe
2006-08-15 13:52 12400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-08-11 19:35 520192 --a------ C:\WINDOWS\system32\DivXsm.exe
2006-08-11 19:35 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-08-11 19:35 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-08-11 19:35 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-08-11 19:31 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-08-11 19:31 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2006-08-11 19:31 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-08-11 19:31 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2006-08-11 19:31 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-08-11 19:31 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-08-11 19:31 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-08-11 19:31 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-08-11 19:31 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2006-08-11 19:31 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2006-08-08 16:50 -------- d-------- C:\Programme\ParentsFriend
2006-08-03 21:14 0 --a------ C:\WINDOWS\system32\qghumeay.dll
2006-08-01 13:59 573492 --------- C:\WINDOWS\system32\gebyx.dll
2006-07-23 17:05 4608 --a------ C:\WINDOWS\system32\w95inf32.dll
2006-07-23 17:05 2272 --a------ C:\WINDOWS\system32\w95inf16.dll
2006-07-12 15:00 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"Yahoo! Pager"="\"C:\\Programme\\Yahoo!\\Messenger\\ypager.exe\" -quiet"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MPFExe"="C:\\PROGRA~1\\McAfee.com\\PERSON~1\\MpfTray.exe"
"MCAgentExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"NeroCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"MCUpdateExe"="C:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"
"DU Meter"="C:\\Programme\\DU Meter\\DUMeter.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,dd,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoDrives"=hex:00,00,00,00

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoDrives"=hex:00,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Yahoo! Pager"="\"C:\\Programme\\Yahoo!\\Messenger\\ypager.exe\" -quiet"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"VirtualCloneDrive"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"MCUpdateExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"
"UnlockerAssistant"="\"C:\\Programme\\Unlocker\\UnlockerAssistant.exe\" -H"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"McRegWiz"="C:\\PROGRA~1\\McAfee.com\\Agent\\mcregwiz.exe /autorun"
"nwiz"="nwiz.exe /install"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"DU Meter"="C:\\Programme\\DU Meter\\DUMeter.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"0190 Warner"="C:\\PROGRA~1\\0190WA~1\\WARN0190.EXE"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winfda32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 08.10.2006 10:10:56.20
ComboFix.txt
-----------------------------------------------

zu 2. hab ich schon
----------------------------------------------

zu 3.1.
Datentr„ger in Laufwerk C: ist XP Pro
Volumeseriennummer: B884-ED2A

Verzeichnis von C:\WINDOWS\system32

08.10.2006 10:17 0 xybeg.tmp2
08.10.2006 10:17 992.682 xybeg.ini2
08.10.2006 10:07 991.342 xybeg.bak2

08.10.2006 10:06 105.952 Status.MPF
08.10.2006 10:05 43.573 nvapps.xml
07.10.2006 21:17 6.714 hijackthis.log
07.10.2006 09:08 0 hqghumea.dll
06.10.2006 15:39 2.116.992 TUKernel.exe
05.10.2006 14:13 5.028 qtplugin.log
05.10.2006 13:30 159.769 rasapi32.dll
05.10.2006 13:30 159.769 rasTMP.tmp
05.10.2006 06:34 2.184 wpa.dbl
04.10.2006 16:19 383.254 perfh009.dat
04.10.2006 16:19 53.608 perfc009.dat
04.10.2006 16:19 394.500 perfh007.dat
04.10.2006 16:19 64.598 perfc007.dat
04.10.2006 16:19 906.552 PerfStringBackup.INI
02.10.2006 20:33 16.832 amcompat.tlb
02.10.2006 20:33 23.392 nscompat.tlb
01.10.2006 20:27 97 mcrh.tmp
01.10.2006 17:19 218.112 HijackThis.exe
29.09.2006 16:10 0 setup_14733.exe
29.09.2006 16:10 70 i

26.09.2006 16:15 259 Mswinmask32.dll
26.09.2006 14:24 21.840 SIntfNT.dll
26.09.2006 14:24 17.212 SIntf32.dll
26.09.2006 14:24 12.067 SIntf16.dll
24.09.2006 16:44 0 rwnt.exe
18.09.2006 20:11 778.240 divx_xx07.dll
18.09.2006 20:11 778.240 divx_xx0c.dll
18.09.2006 20:11 761.856 divx_xx11.dll
18.09.2006 20:11 620.180 DivX.dll
29.08.2006 19:07 692.665 xybeg.tmp
29.08.2006 14:59 692.665 xybeg.ini
18.08.2006 14:24 13.844 gshbsitt.exe
18.08.2006 14:12 13.844 gqosfffl.exe
18.08.2006 13:58 13.844 wffiblqy.exe
17.08.2006 13:58 12.820 gnxbgxvm.exe
15.08.2006 19:33 0 eraseme_58207.exe

13.08.2006 13:31 240.736 FNTCACHE.DAT
13.08.2006 08:53 1.479 daoSetup.log
11.08.2006 19:35 4.276 divxsm.tlb
11.08.2006 19:35 520.192 DivXsm.exe
11.08.2006 19:35 10.863 dsm_ja.qm
11.08.2006 19:35 15.299 dsm_fr.qm
11.08.2006 19:35 15.507 dsm_de.qm
11.08.2006 19:35 3.596.288 qt-dx331.dll
11.08.2006 19:35 421.888 pxdrv.dll
11.08.2006 19:35 108.544 pxcpyi64.exe
11.08.2006 19:35 109.568 pxinsi64.exe
11.08.2006 19:35 172.032 pxmas.dll
11.08.2006 19:35 372.736 px.dll
11.08.2006 19:35 56.832 pxcpya64.exe
11.08.2006 19:35 61.440 pxhpinst.exe
11.08.2006 19:35 56.320 pxinsa64.exe
11.08.2006 19:35 339.968 pxwave.dll
11.08.2006 19:35 28.672 vxblock.dll
11.08.2006 19:35 1.044.480 libdivx.dll
11.08.2006 19:35 200.704 ssldivx.dll
11.08.2006 19:31 73.728 dpl100.dll
11.08.2006 19:31 196.608 dtu100.dll
11.08.2006 19:31 53.248 dpuGUI10.dll
11.08.2006 19:31 593.920 dpuGUI11.dll
11.08.2006 19:31 344.064 dpus11.dll
11.08.2006 19:31 57.344 dpv11.dll
11.08.2006 19:31 294.912 dpu10.dll
11.08.2006 19:31 294.912 dpu11.dll
11.08.2006 19:31 704.512 divxdec.ax
11.08.2006 19:31 352.401 DivXMedia.ax
11.08.2006 19:31 12.288 DivXWMPExtType.dll
11.08.2006 19:31 118.784 DivXCodecUpdateChecker.exe
11.08.2006 19:31 8.523 dpude.qm
11.08.2006 19:31 3.136 dtu_de.qm
03.08.2006 21:14 0 qghumeay.dll
01.08.2006 13:59 573.492 gebyx.dll
23.07.2006 17:05 2.272 w95inf16.dll
23.07.2006 17:05 4.608 w95inf32.dll
18.07.2006 15:58 7.006 jupdate-1.5.0_06-b05.log
12.07.2006 15:00 57.384 avsda.dll
09.07.2006 18:16 4.286 ot.ico
09.07.2006 18:16 4.286 ts.ico
03.07.2006 15:40 0 TFTP1224

------------------------------------------
3.2
Datentr„ger in Laufwerk C: ist XP Pro
Volumeseriennummer: B884-ED2A

Verzeichnis von C:\DOKUME~1\Duc\LOKALE~1\Temp

08.10.2006 10:15 204 jusched.log
1 Datei(en) 204 Bytes
0 Verzeichnis(se), 7.175.909.376 Bytes frei
--------------------------------------------
3.3
Datentr„ger in Laufwerk C: ist XP Pro
Volumeseriennummer: B884-ED2A

Verzeichnis von C:\WINDOWS

08.10.2006 10:06 0 0.log
08.10.2006 10:06 157 wiadebug.log
08.10.2006 10:06 50 wiaservc.log
08.10.2006 10:04 2.048 bootstat.dat
08.10.2006 10:03 32.550 SchedLgU.Txt
08.10.2006 10:00 825.026 setupapi.log
06.10.2006 22:15 1.081 IE4 Error Log.txt
06.10.2006 17:07 834 cncscore.ini
05.10.2006 13:29 2.384 0190Warner_Uninstall.ins
02.10.2006 20:33 50.361 wmsetup.log
30.09.2006 11:15 1.089 disney.ini
26.09.2006 13:30 76.283 DirectX.log
17.09.2006 13:34 214 SIERRA.INI
15.09.2006 16:21 323 doom3.ini
13.09.2006 20:47 992 OEWABLog.txt
13.09.2006 20:43 11.791 Active Setup Log.txt
13.09.2006 19:19 1.693 Active Setup Log.BAK
13.09.2006 17:13 1.300 KB867460.log
13.09.2006 17:07 1.442 COM+.log
10.09.2006 11:08 12.104 Windows Update.log
28.08.2006 13:59 63 frikikmulti.ini
18.08.2006 12:32 73 ECMM_SAVER.INI
16.08.2006 11:06 68 Awpr.ini
30.07.2006 09:34 107.678 War3Unin.dat
28.07.2006 18:08 133 pink
26.07.2006 15:05 581 eReg.dat
18.07.2006 15:58 4.583 mozver.dat
--------------------------------------------
ABer was ich nicht verstehe sind die 4. 5. und 6 logs. was soll man da machen?

mfg sasuke
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »