TR/vundo.gen löschen??Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
25.09.2006, 00:03
...neu hier
Beiträge: 4 |
||
|
||
25.09.2006, 21:41
Member
Beiträge: 29 |
#17
ich hab das selbe problem, poste einfach mal das was mir HijackThis ausgespuckt hat:
Logfile of HijackThis v1.99.1 Scan saved at 21:35:54, on 25.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\Razer\razerhid.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\inKline Global\PC Booster\pcbooster.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\svchost.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Razer\razertra.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Razer\razerofa.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\mIRC\mirc.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Dokumente und Einstellungen\Alien\Desktop\avenger\avenger.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe C:\Dokumente und Einstellungen\Alien\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Pinnacle Scheduler.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: http://locator.cdn.imageservr.com O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe |
|
|
||
25.09.2006, 23:10
Ehrenmitglied
Beiträge: 29434 |
#18
Aliennod
1. poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.09.2006, 16:39
Member
Beiträge: 29 |
#19
Alien - 06-09-26 16:36:14,85 Service Pack 2
ComboFix 06.09.26 - Running from: "C:\Programme\Mozilla Firefox" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Gemeinsame Dateien\Y1123OU.exe ((((((((((((((((((((((((((((((( Files Created from 2006-08-26 to 2006-09-26 )))))))))))))))))))))))))))))))))) 2006-09-25 20:51 78,488 --a------ C:\WINDOWS\system32\XMD5.dll 2006-09-25 20:51 101,888 --a------ C:\WINDOWS\system32\vb6stkit.dll 2006-09-18 22:35 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys 2006-09-17 21:21 106,516 --a------ C:\WINDOWS\system32\qgyvdjcg.dll 2006-09-05 19:14 106,516 --a------ C:\WINDOWS\system32\vayumrat.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-26 16:37 587323 ---hs---- C:\WINDOWS\system32\ehhkj.ini2 2006-09-26 16:37 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-26 16:37 -------- d-------- C:\Programme\CleanUp! 2006-09-26 16:35 -------- d-------- C:\Programme\Mozilla Firefox 2006-09-26 16:25 -------- d-------- C:\Programme\PestPatrol 2006-09-25 21:08 -------- d-------- C:\Programme\SpywareBot 2006-09-25 19:05 -------- d-------- C:\Programme\BearShare 2006-09-24 09:13 1092679 ---hs---- C:\WINDOWS\system32\ehhkj.bak2 2006-09-23 07:51 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\Azureus 2006-09-20 20:43 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\CoreFTP 2006-09-19 22:11 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\Skype 2006-09-18 16:51 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-09-17 21:21 1218844 ---hs---- C:\WINDOWS\system32\ehhkj.bak1 2006-09-09 10:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe 2006-09-09 10:46 -------- d-------- C:\Programme\Adobe 2006-09-09 10:46 -------- d-------- C:\Dokumente und Einstellungen\Alien\Anwendungsdaten\Adobe 2006-09-09 02:14 -------- d-------- C:\Programme\Azureus 2006-08-31 18:46 -------- d-------- C:\Programme\Gemeinsame Dateien\DirectX 2006-08-30 19:32 2560 --a------ C:\upd.exe 2006-08-28 16:58 -------- d-------- C:\Programme\ATI Technologies 2006-08-25 16:43 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-24 17:05 -------- d-------- C:\Programme\Doushin 2006-08-20 11:58 -------- d-------- C:\Programme\Java 2006-08-19 14:04 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2006-08-17 17:24 13844 --a------ C:\WINDOWS\system32\smdfhnjo.exe 2006-08-06 18:47 -------- d-------- C:\Programme\Trillian 2006-08-02 18:44 -------- d-------- C:\Programme\ICQLite 2006-07-12 18:48 98324 --a------ C:\WINDOWS\system32\xrfuawrm.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Creative Detector"="C:\\Programme\\Creative\\MediaSource\\Detector\\CTDetect.exe /R" "Creative MediaSource Go"="\"C:\\Programme\\Creative\\MediaSource\\Go\\CTCMSGo.exe\" /SCB" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AudioDrvEmulator"="\"C:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe\" -1 AudioDrvEmulator \"C:\\Programme\\Creative\\Shared Files\\Module Loader\\Audio Emulator\\AudDrvEm.dll\"" "CTHelper"="CTHELPER.EXE" "UpdReg"="C:\\WINDOWS\\UpdReg.EXE" "razer"="C:\\Programme\\Razer\\razerhid.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "PC Booster"="C:\\Programme\\inKline Global\\PC Booster\\pcbooster.exe" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\"" "PCTVRemote"="C:\\Programme\\Pinnacle\\PCTV Stereo\\Remote\\Remoterm.exe" "SoundMan"="SOUNDMAN.EXE" "Lexmark 2200 Series"="\"C:\\Programme\\Lexmark 2200 Series\\lxbvbmgr.exe\"" "CTDVDDET"="C:\\Programme\\Creative\\SBAudigy4\\DVDAudio\\CTDVDDET.EXE" "CTSysVol"="C:\\Programme\\Creative\\SBAudigy4\\Surround Mixer\\CTSysVol.exe /r" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay" "PPMemCheck"="C:\\PROGRA~1\\PESTPA~1\\PPMemCheck.exe" "CookiePatrol"="C:\\PROGRA~1\\PESTPA~1\\CookiePatrol.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,cb,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,00,02,00,00,2f,00,00,00,e0,00,00,00,ce,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] "nlsf"=hex(2):63,6d,64,2e,65,78,65,20,2f,43,20,6d,6f,76,65,20,2f,59,20,22,25,\ 53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,79,73,73,\ 65,74,75,62,2e,64,6c,6c,22,20,22,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,\ 79,73,74,65,6d,33,32,5c,73,79,73,73,65,74,75,70,2e,64,6c,6c,22,00 "tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\ 33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] "nlsf"=hex(2):63,6d,64,2e,65,78,65,20,2f,43,20,6d,6f,76,65,20,2f,59,20,22,25,\ 53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,79,73,73,\ 65,74,75,62,2e,64,6c,6c,22,20,22,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,\ 79,73,74,65,6d,33,32,5c,73,79,73,73,65,74,75,70,2e,64,6c,6c,22,00 "tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\ 33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "wininet.dll"="" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AsioReg] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="REGSVR32" "hkey"="HKLM" "command"="REGSVR32.EXE /S CTASIO.DLL" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DaemonTools_WhenUSaveNow_Installer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="DaemonTools_WhenUSaveNow_Installer" "hkey"="HKLM" "command"="C:\\Programme\\DaemonTools_WhenUSaveNow_Installer\\DaemonTools_WhenUSaveNow_Installer.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DevconDefaultDB] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="READREG /SILENT /FAIL=1" "hkey"="HKLM" "command"="C:\\WINDOWS\\READREG /SILENT /FAIL=1" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ICQLite" "hkey"="HKLM" "command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Skype] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Skype" "hkey"="HKCU" "command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="VVSN" "hkey"="HKLM" "command"="C:\\Programme\\VVSN\\VVSN.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Save" "hkey"="HKCU" "command"="\"C:\\Programme\\Save\\Save.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services] "wscsvc"=dword:00000002 "SharedAccess"=dword:00000002 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhhe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winghy32 HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\KDE_3.5_on_SUSE_Linux_10.job Completion time: 26.09.2006 16:38:35.79 ComboFix.txt zu 2.: ich denke ich habe alles so gemacht wie beschrieben, aber ich werde aus irgendeinem grund nicht dazu aufgefordert zu rebooten...und dementsprechend scheint das programm auch nicht die gefundenen dateien zu löschen, welche eine nicht grade geringe zahl darstellen ^^ zu 3: seite 1 : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 740A-8CA9 Verzeichnis von C:\WINDOWS\system32 26.09.2006 16:56 587.275 ehhkj.ini2 26.09.2006 16:51 1.080 settings.sfm 26.09.2006 16:51 1.080 settingsbkup.sfm 26.09.2006 16:51 11.564 DVCState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx 26.09.2006 16:51 30.924 BMXBkpCtrlState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx 26.09.2006 16:51 30.924 BMXCtrlState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx 26.09.2006 16:51 32.812 BMXStateBkp-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx 26.09.2006 16:51 32.812 BMXState-{00000002-00000000-00000007-00001102-00000008-10211102}.rfx 26.09.2006 16:49 1.128.591 ehhkj.bak2 25.09.2006 16:17 2.206 wpa.dbl 17.09.2006 21:21 106.516 qgyvdjcg.dll 17.09.2006 21:21 1.218.844 ehhkj.bak1 05.09.2006 19:14 106.516 vayumrat.dll 28.08.2006 21:10 143 mcrh.tmp 20.08.2006 11:58 8.891 jupdate-1.5.0_08-b03.log 19.08.2006 14:04 43.520 CmdLineExt03.dll 17.08.2006 17:24 13.844 smdfhnjo.exe 26.07.2006 03:03 127.078 javaws.exe 26.07.2006 03:03 49.265 jpicpl32.cpl 26.07.2006 01:26 53.346 javaw.exe 26.07.2006 01:25 49.248 java.exe 12.07.2006 18:48 98.324 xrfuawrm.dll 26.06.2006 12:12 587.211 ehhkj.tmp 26.06.2006 06:20 587.387 ehhkj.ini 25.06.2006 19:18 98.304 CmdLineExt.dll 16.06.2006 06:09 569.396 jkhhe.dll 15.06.2006 13:40 39.437 opnklji.dll 12.06.2006 16:04 57.384 avsda.dll seite 2: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 740A-8CA9 Verzeichnis von C:\DOKUME~1\Alien\LOKALE~1\Temp 26.09.2006 16:54 16.384 Perflib_Perfdata_d38.dat 26.09.2006 16:54 16.384 Perflib_Perfdata_ac4.dat 26.09.2006 16:53 16.384 Perflib_Perfdata_240.dat 26.09.2006 16:49 45.505 wjpxodaf.dll 26.09.2006 16:49 143.360 htrkyssf.exe 26.09.2006 16:48 173 jusched.log 05.11.2002 15:16 647 Skin.ini 7 Datei(en) 238.837 Bytes 0 Verzeichnis(se), 3.501.588.480 Bytes frei seite 3: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 740A-8CA9 Verzeichnis von C:\WINDOWS 26.09.2006 16:53 419.241 WindowsUpdate.log 26.09.2006 16:53 0 0.log 26.09.2006 16:53 159 wiadebug.log 26.09.2006 16:52 50 wiaservc.log 26.09.2006 16:52 4.958.588 {00000002-00000000-00000007-00001102-00000008-10211102}.CDF 26.09.2006 16:51 2.048 bootstat.dat 26.09.2006 16:50 32.086 SchedLgU.Txt 26.09.2006 16:50 4.958.588 {00000002-00000000-00000007-00001102-00000008-10211102}.BAK 26.09.2006 16:35 155 winamp.ini 25.09.2006 17:10 49 NeroDigital.ini 25.09.2006 16:32 567.660 setupapi.log 17.09.2006 08:22 1.409 QTFont.for 17.09.2006 08:22 54.156 QTFont.qfn 12.09.2006 18:21 549 win.ini 12.09.2006 18:21 327 system.ini 09.09.2006 10:33 199.427 DirectX.log 01.09.2006 03:21 11.439.946 dp2_log.txt 28.08.2006 22:42 1.004 ATICIM.INI 28.08.2006 20:01 269 lexstat.ini 06.08.2006 16:03 3.518 mozver.dat 06.08.2006 16:01 189 wininit.ini 01.07.2006 23:29 61.283 wmsetup.log 13.06.2006 20:31 23 BlendSettings.ini und seite 4: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 740A-8CA9 Verzeichnis von C:\ 26.09.2006 16:57 0 sys.txt 26.09.2006 16:57 6.212 system.txt 26.09.2006 16:57 624 systemtemp.txt 26.09.2006 16:57 105.678 system32.txt 26.09.2006 16:51 536.399.872 hiberfil.sys 26.09.2006 16:51 805.306.368 pagefile.sys 26.09.2006 16:38 11.546 ComboFix.txt 30.08.2006 19:32 2.560 upd.exe 20.08.2006 11:49 211 boot.ini 15.07.2006 16:56 8.412 Pokemon Feuerrot (G).clt 30.06.2006 18:50 647 LSM drk.txt schonmal besten dank für die hilfe greetz Alien Dieser Beitrag wurde am 26.09.2006 um 17:01 Uhr von Aliennod editiert.
|
|
|
||
26.09.2006, 23:44
Ehrenmitglied
Beiträge: 29434 |
#20
Aliennod
** wende Vundofix an http://virus-protect.org/artikel/tools/vundofixx.html ** Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.comPC neustarten ** neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein ** scanne mit counterspy, stelle nach dem scan alles auf "remove" und poste den report http://virus-protect.org/counterspy.html + poste das neue Log vom HijackThis ----------- SpywareBot http://virus-protect.org/artikel/spyware/spywarebot.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2006, 12:33
Member
Beiträge: 29 |
#21
Vundofix, ich denke mal, erfolgreich ausgeführt ^^
~~~ hier das log vom avenger: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jgfmcgwf ******************* Script file located at: \??\C:\WINDOWS\qtdvbprv.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ehhkj.ini2 deleted successfully. File C:\WINDOWS\system32\ehhkj.bak2 deleted successfully. File C:\WINDOWS\system32\qgyvdjcg.dll not found! Deletion of file C:\WINDOWS\system32\qgyvdjcg.dll failed! Could not process line: C:\WINDOWS\system32\qgyvdjcg.dll Status: 0xc0000034 File C:\WINDOWS\system32\ehhkj.bak1 deleted successfully. File C:\WINDOWS\system32\vayumrat.dll not found! Deletion of file C:\WINDOWS\system32\vayumrat.dll failed! Could not process line: C:\WINDOWS\system32\vayumrat.dll Status: 0xc0000034 File C:\WINDOWS\system32\mcrh.tmp deleted successfully. File C:\WINDOWS\system32\smdfhnjo.exe not found! Deletion of file C:\WINDOWS\system32\smdfhnjo.exe failed! Could not process line: C:\WINDOWS\system32\smdfhnjo.exe Status: 0xc0000034 File C:\WINDOWS\system32\xrfuawrm.dll deleted successfully. File C:\WINDOWS\system32\ehhkj.tmp deleted successfully. File C:\WINDOWS\system32\ehhkj.ini deleted successfully. File C:\WINDOWS\system32\jkhhe.dll deleted successfully. File C:\WINDOWS\system32\opnklji.dll not found! Deletion of file C:\WINDOWS\system32\opnklji.dll failed! Could not process line: C:\WINDOWS\system32\opnklji.dll Status: 0xc0000034 File C:\upd.exe deleted successfully. File C:\Dokumente und Einstellungen\Alien\Lokale Einstellungen\Temp\wjpxodaf.dll deleted successfully. File C:\Dokumente und Einstellungen\Alien\Lokale Einstellungen\Temp\htrkyssf.exe deleted successfully. Folder C:\Programme\DAEMON Tools deleted successfully. Folder C:\Programme\SpywareBot deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhhe deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winghy32 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DaemonTools_WhenUSaveNow_Installer deleted successfully. Completed script processing. ******************* Finished! Terminate. ~~~~ neue startseite mit den vorherigen schritten ausgeführt, sowie eingerichtet. ~~~~ neue log vom HiJackThis: Logfile of HijackThis v1.99.1 Scan saved at 12:34:38, on 27.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\Razer\razerhid.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\inKline Global\PC Booster\pcbooster.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE C:\Programme\Razer\razertra.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\Programme\Razer\razerofa.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Alien\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: (no name) - {D4CA844B-BB90-451D-9A8C-CD13107D55A6} - C:\WINDOWS\system32\jkhhe.dll (file missing) O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Pinnacle Scheduler.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: http://locator.cdn.imageservr.com O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe ~~~~ counterspy report folgt in kürze, und hier ist er ^^ Spyware Scan Details Start Date: 27.09.2006 12:49:13 End Date: 27.09.2006 13:18:45 Total Time: 29 mins 32 secs Detected spyware BearShare P2P Program more information... Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives. Status: Ignored Infected files detected c:\programme\bearshare\armaccess.dll c:\programme\bearshare\bearshare.dat c:\programme\bearshare\bearshare.exe c:\programme\bearshare\bsidle.dll c:\programme\bearshare\digerati.nfo c:\programme\bearshare\freepeers.ini c:\programme\bearshare\license.lic c:\programme\bearshare\runmsc.dll c:\programme\bearshare\unwise.exe c:\programme\bearshare\unwise.ini c:\programme\bearshare\webstats.bat c:\programme\bearshare\webstats.exe c:\programme\bearshare\webstats.ini c:\programme\bearshare\db\config.bin c:\programme\bearshare\db\connect.txt c:\programme\bearshare\db\gwebcache.dat c:\programme\bearshare\db\hostiles-chat.txt c:\programme\bearshare\db\hostiles.txt c:\programme\bearshare\db\library.2.db c:\programme\bearshare\db\library.2.db.lastgoodload.bak c:\programme\bearshare\db\library.db c:\programme\bearshare\db\library.db.lastgoodload.bak c:\programme\bearshare\db\searches.ini c:\programme\bearshare\logs\hosts-state.txt c:\programme\bearshare\logs\memory.txt c:\programme\bearshare\logs\ordinal.txt c:\programme\bearshare\logs\streams.txt c:\programme\bearshare\my downloads\silbermond das beste(1).mp3 c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.dat c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.dat.bak c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.exe c:\programme\bearshare\temp\tmpbsinstallde_de5.2.5.5.tiger c:\dokumente und einstellungen\all users\startmenü\programme\bearshare.lnk Infected registry entries detected HKEY_CLASSES_ROOT\gnufile HKEY_CLASSES_ROOT\gnufile\shell\open\command "C:\Programme\BearShare\\BearShare.exe" "%1" HKEY_CLASSES_ROOT\gnufile gnutella HKEY_CLASSES_ROOT\gnufile BrowserFlags 8 HKEY_CLASSES_ROOT\gnufile EditFlags 65536 HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905} HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\ HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting HKEY_CURRENT_USER\appevents\schemes\apps\bearshare HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current C:\Programme\BearShare\sounds\notify.wav HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg HKEY_CURRENT_USER\appevents\schemes\apps\bearshare BearShare HKEY_LOCAL_MACHINE\software\bearshare HKEY_LOCAL_MACHINE\software\bearshare InstallDir C:\Programme\BearShare\ HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayName BearShare HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare UninstallString C:\PROGRA~1\BEARSH~1\\UNWISE.EXE C:\PROGRA~1\BEARSH~1\\INSTALL.LOG HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayVersion 5.2.1.2DE HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare HelpLink http://bearshare.de/Help/index.htm HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare Publisher Free Peers, Inc. HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare URLInfoAbout http://www.freepeers.com HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayIcon C:\Programme\BearShare\\BearShare.exe,-128 HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting HKEY_USERS\.default\appevents\schemes\apps\bearshare HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current C:\Programme\BearShare\sounds\notify.wav HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg HKEY_USERS\.default\appevents\schemes\apps\bearshare BearShare HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32 %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} WebView tree item callback object for sysdm.cpl HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} jrkD aKdWoazioMzWnBnCl_lf}iIggc HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} thNFobjk `V{IXZhcYQdxr[`BxuhaEiaVd HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} pEwfqzX u]WtC|MW~UHAIRrPXqh`a HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} mTqix \YBwLRSUvLVH~Ith|iRj HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} cfcBxu Rbptk^slSW@NHB]HvWd@w`~HRX HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} IxyogopO CKkBHsg@VaWdPPrck`bq HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} KdkCdfNat IbL}R|evZUUAZyhvd HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} jPfqGf Psd[yLULJFqCWqa\ec`ApbcWF|UTKB HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} bZgmkmwjBLo tKe~SzN@yOwfI[bFh^}s`k HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} cAOh rka^GutuqCyrFCn|O HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} prKHmmrTmAUfm XubMQYcBMl]OCKb}oICa HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} HqmqeMA yqM|JjTLX\CRz{TKYNs^[J[{]\DZP HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} ntgrTddykpgj ujnH\Yu`Hf_KwFJOQH[GRmfXI HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} jWcssfunvid BLI\Dh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} BearShare HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Version 5,2,1,2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} ComponentID BearShare HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} IsInstalled 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Locale DE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare SlowInfoCache HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare Changed 0 DesktopScam Trojan Downloader more information... Details: DesktopScam is a trojan that is downloaded with rogue security applicatons in order to frighten the affected user into purchasing the rogue program. Status: Deleted Infected files detected c:\windows\system32\1024\ld1006.tmp c:\windows\system32\1024\ld1043.tmp c:\windows\system32\1024\ld1054.tmp c:\windows\system32\1024\ld1070.tmp c:\windows\system32\1024\ld114b.tmp c:\windows\system32\1024\ld123d.tmp c:\windows\system32\1024\ld1240.tmp c:\windows\system32\1024\ld1289.tmp c:\windows\system32\1024\ld129.tmp c:\windows\system32\1024\ld129f.tmp c:\windows\system32\1024\ld1381.tmp c:\windows\system32\1024\ld13b9.tmp c:\windows\system32\1024\ld14a7.tmp c:\windows\system32\1024\ld15f0.tmp c:\windows\system32\1024\ld16c5.tmp c:\windows\system32\1024\ld189d.tmp c:\windows\system32\1024\ld191a.tmp c:\windows\system32\1024\ld1952.tmp c:\windows\system32\1024\ld195c.tmp c:\windows\system32\1024\ld19d7.tmp c:\windows\system32\1024\ld1a6c.tmp c:\windows\system32\1024\ld1a7f.tmp c:\windows\system32\1024\ld1b80.tmp c:\windows\system32\1024\ld1c07.tmp c:\windows\system32\1024\ld1d3b.tmp c:\windows\system32\1024\ld1e0f.tmp c:\windows\system32\1024\ld1eab.tmp c:\windows\system32\1024\ld1f1c.tmp c:\windows\system32\1024\ld1f6f.tmp c:\windows\system32\1024\ld1f85.tmp c:\windows\system32\1024\ld1fd1.tmp c:\windows\system32\1024\ld1fe2.tmp c:\windows\system32\1024\ld20c7.tmp c:\windows\system32\1024\ld2149.tmp c:\windows\system32\1024\ld215f.tmp c:\windows\system32\1024\ld2192.tmp c:\windows\system32\1024\ld23d6.tmp c:\windows\system32\1024\ld254f.tmp c:\windows\system32\1024\ld25df.tmp c:\windows\system32\1024\ld268d.tmp c:\windows\system32\1024\ld26b6.tmp c:\windows\system32\1024\ld2842.tmp c:\windows\system32\1024\ld2889.tmp c:\windows\system32\1024\ld29a6.tmp c:\windows\system32\1024\ld2ad2.tmp c:\windows\system32\1024\ld2b1e.tmp c:\windows\system32\1024\ld2b26.tmp c:\windows\system32\1024\ld2bdc.tmp c:\windows\system32\1024\ld2c1c.tmp c:\windows\system32\1024\ld2c72.tmp c:\windows\system32\1024\ld2c99.tmp c:\windows\system32\1024\ld2eb9.tmp c:\windows\system32\1024\ld2ed9.tmp c:\windows\system32\1024\ld2efb.tmp c:\windows\system32\1024\ld2f53.tmp c:\windows\system32\1024\ld2fe6.tmp c:\windows\system32\1024\ld30fd.tmp c:\windows\system32\1024\ld313a.tmp c:\windows\system32\1024\ld3217.tmp c:\windows\system32\1024\ld323e.tmp c:\windows\system32\1024\ld3297.tmp c:\windows\system32\1024\ld32b0.tmp c:\windows\system32\1024\ld34e5.tmp c:\windows\system32\1024\ld350c.tmp c:\windows\system32\1024\ld3511.tmp c:\windows\system32\1024\ld352d.tmp c:\windows\system32\1024\ld35ea.tmp c:\windows\system32\1024\ld361f.tmp c:\windows\system32\1024\ld3690.tmp c:\windows\system32\1024\ld3745.tmp c:\windows\system32\1024\ld37de.tmp c:\windows\system32\1024\ld3851.tmp c:\windows\system32\1024\ld3876.tmp c:\windows\system32\1024\ld39d7.tmp c:\windows\system32\1024\ld3a6d.tmp c:\windows\system32\1024\ld3b58.tmp c:\windows\system32\1024\ld3c36.tmp c:\windows\system32\1024\ld3d44.tmp c:\windows\system32\1024\ld3d4f.tmp c:\windows\system32\1024\ld3ead.tmp c:\windows\system32\1024\ld3f68.tmp c:\windows\system32\1024\ld3f8e.tmp c:\windows\system32\1024\ld404f.tmp c:\windows\system32\1024\ld406b.tmp c:\windows\system32\1024\ld40fe.tmp c:\windows\system32\1024\ld4234.tmp c:\windows\system32\1024\ld4380.tmp c:\windows\system32\1024\ld43fd.tmp c:\windows\system32\1024\ld4427.tmp c:\windows\system32\1024\ld44d4.tmp c:\windows\system32\1024\ld468a.tmp c:\windows\system32\1024\ld4692.tmp c:\windows\system32\1024\ld47a.tmp c:\windows\system32\1024\ld47b5.tmp c:\windows\system32\1024\ld47b8.tmp c:\windows\system32\1024\ld48e7.tmp c:\windows\system32\1024\ld49.tmp c:\windows\system32\1024\ld4916.tmp c:\windows\system32\1024\ld4930.tmp c:\windows\system32\1024\ld49f6.tmp c:\windows\system32\1024\ld49f8.tmp c:\windows\system32\1024\ld4aef.tmp c:\windows\system32\1024\ld4c90.tmp c:\windows\system32\1024\ld4d39.tmp c:\windows\system32\1024\ld4def.tmp c:\windows\system32\1024\ld4f43.tmp c:\windows\system32\1024\ld4f4e.tmp c:\windows\system32\1024\ld4f78.tmp c:\windows\system32\1024\ld4f91.tmp c:\windows\system32\1024\ld4fc5.tmp c:\windows\system32\1024\ld500.tmp c:\windows\system32\1024\ld50bd.tmp c:\windows\system32\1024\ld50fd.tmp c:\windows\system32\1024\ld515d.tmp c:\windows\system32\1024\ld51d1.tmp c:\windows\system32\1024\ld51f7.tmp c:\windows\system32\1024\ld525f.tmp c:\windows\system32\1024\ld52b1.tmp c:\windows\system32\1024\ld53ba.tmp c:\windows\system32\1024\ld53e9.tmp c:\windows\system32\1024\ld5535.tmp c:\windows\system32\1024\ld5541.tmp c:\windows\system32\1024\ld5631.tmp c:\windows\system32\1024\ld56a7.tmp c:\windows\system32\1024\ld573a.tmp c:\windows\system32\1024\ld58d0.tmp c:\windows\system32\1024\ld5a25.tmp c:\windows\system32\1024\ld5a64.tmp c:\windows\system32\1024\ld5a78.tmp c:\windows\system32\1024\ld5a8.tmp c:\windows\system32\1024\ld5ab0.tmp c:\windows\system32\1024\ld5abb.tmp c:\windows\system32\1024\ld5b2f.tmp c:\windows\system32\1024\ld5ca3.tmp c:\windows\system32\1024\ld5d98.tmp c:\windows\system32\1024\ld5e61.tmp c:\windows\system32\1024\ld5ed5.tmp c:\windows\system32\1024\ld60a5.tmp c:\windows\system32\1024\ld60b9.tmp c:\windows\system32\1024\ld60de.tmp c:\windows\system32\1024\ld610e.tmp c:\windows\system32\1024\ld611c.tmp c:\windows\system32\1024\ld6146.tmp c:\windows\system32\1024\ld61a5.tmp c:\windows\system32\1024\ld6264.tmp c:\windows\system32\1024\ld6302.tmp c:\windows\system32\1024\ld636b.tmp c:\windows\system32\1024\ld6397.tmp c:\windows\system32\1024\ld640f.tmp c:\windows\system32\1024\ld6411.tmp c:\windows\system32\1024\ld6438.tmp c:\windows\system32\1024\ld6475.tmp c:\windows\system32\1024\ld6520.tmp c:\windows\system32\1024\ld65fb.tmp c:\windows\system32\1024\ld6626.tmp c:\windows\system32\1024\ld66e9.tmp c:\windows\system32\1024\ld6759.tmp c:\windows\system32\1024\ld67e0.tmp c:\windows\system32\1024\ld6823.tmp c:\windows\system32\1024\ld69ab.tmp c:\windows\system32\1024\ld69f2.tmp c:\windows\system32\1024\ld6b5d.tmp c:\windows\system32\1024\ld6c38.tmp c:\windows\system32\1024\ld6d47.tmp c:\windows\system32\1024\ld6da4.tmp c:\windows\system32\1024\ld6dc3.tmp c:\windows\system32\1024\ld6f6a.tmp c:\windows\system32\1024\ld70a1.tmp c:\windows\system32\1024\ld70b9.tmp c:\windows\system32\1024\ld71ad.tmp c:\windows\system32\1024\ld71c6.tmp c:\windows\system32\1024\ld7246.tmp c:\windows\system32\1024\ld7255.tmp c:\windows\system32\1024\ld7274.tmp c:\windows\system32\1024\ld7329.tmp c:\windows\system32\1024\ld7478.tmp c:\windows\system32\1024\ld74fd.tmp c:\windows\system32\1024\ld760c.tmp c:\windows\system32\1024\ld7652.tmp c:\windows\system32\1024\ld766.tmp c:\windows\system32\1024\ld7689.tmp c:\windows\system32\1024\ld769.tmp c:\windows\system32\1024\ld76a6.tmp c:\windows\system32\1024\ld76b7.tmp c:\windows\system32\1024\ld76f0.tmp c:\windows\system32\1024\ld7743.tmp c:\windows\system32\1024\ld7789.tmp c:\windows\system32\1024\ld7882.tmp c:\windows\system32\1024\ld7891.tmp c:\windows\system32\1024\ld7927.tmp c:\windows\system32\1024\ld792c.tmp c:\windows\system32\1024\ld7aae.tmp c:\windows\system32\1024\ld7b78.tmp c:\windows\system32\1024\ld7c2b.tmp c:\windows\system32\1024\ld7c50.tmp c:\windows\system32\1024\ld7d2d.tmp c:\windows\system32\1024\ld7e6f.tmp c:\windows\system32\1024\ld7eb0.tmp c:\windows\system32\1024\ld7fa3.tmp c:\windows\system32\1024\ld7fc6.tmp c:\windows\system32\1024\ld81ab.tmp c:\windows\system32\1024\ld81c2.tmp c:\windows\system32\1024\ld82d5.tmp c:\windows\system32\1024\ld839.tmp c:\windows\system32\1024\ld83ac.tmp c:\windows\system32\1024\ld84cb.tmp c:\windows\system32\1024\ld8586.tmp c:\windows\system32\1024\ld862a.tmp c:\windows\system32\1024\ld86ab.tmp c:\windows\system32\1024\ld87a9.tmp c:\windows\system32\1024\ld87cf.tmp c:\windows\system32\1024\ld880b.tmp c:\windows\system32\1024\ld8857.tmp c:\windows\system32\1024\ld890f.tmp c:\windows\system32\1024\ld89aa.tmp c:\windows\system32\1024\ld8a7e.tmp c:\windows\system32\1024\ld8b7.tmp c:\windows\system32\1024\ld8ca.tmp c:\windows\system32\1024\ld8cb0.tmp c:\windows\system32\1024\ld8d43.tmp c:\windows\system32\1024\ld8e05.tmp c:\windows\system32\1024\ld8e1c.tmp c:\windows\system32\1024\ld8e2c.tmp c:\windows\system32\1024\ld8e55.tmp c:\windows\system32\1024\ld8fe7.tmp c:\windows\system32\1024\ld9024.tmp c:\windows\system32\1024\ld9036.tmp c:\windows\system32\1024\ld910e.tmp c:\windows\system32\1024\ld9138.tmp c:\windows\system32\1024\ld9204.tmp c:\windows\system32\1024\ld926e.tmp c:\windows\system32\1024\ld92f2.tmp c:\windows\system32\1024\ld937f.tmp c:\windows\system32\1024\ld93e4.tmp c:\windows\system32\1024\ld947a.tmp c:\windows\system32\1024\ld94a1.tmp c:\windows\system32\1024\ld95e4.tmp c:\windows\system32\1024\ld9691.tmp c:\windows\system32\1024\ld96fc.tmp c:\windows\system32\1024\ld97e2.tmp c:\windows\system32\1024\ld986b.tmp c:\windows\system32\1024\ld9916.tmp c:\windows\system32\1024\ld9936.tmp c:\windows\system32\1024\ld99e7.tmp c:\windows\system32\1024\ld9aae.tmp c:\windows\system32\1024\ld9b20.tmp c:\windows\system32\1024\ld9c3d.tmp c:\windows\system32\1024\ld9c4f.tmp c:\windows\system32\1024\ld9d96.tmp c:\windows\system32\1024\ld9ef0.tmp c:\windows\system32\1024\ld9f2d.tmp c:\windows\system32\1024\ld9fcb.tmp c:\windows\system32\1024\lda05e.tmp c:\windows\system32\1024\lda1db.tmp c:\windows\system32\1024\lda1ea.tmp c:\windows\system32\1024\lda3a8.tmp c:\windows\system32\1024\lda3b7.tmp c:\windows\system32\1024\lda404.tmp c:\windows\system32\1024\lda56b.tmp c:\windows\system32\1024\lda5cc.tmp c:\windows\system32\1024\lda5f0.tmp c:\windows\system32\1024\lda606.tmp c:\windows\system32\1024\lda63c.tmp c:\windows\system32\1024\lda798.tmp c:\windows\system32\1024\lda7aa.tmp c:\windows\system32\1024\lda7e8.tmp c:\windows\system32\1024\lda872.tmp c:\windows\system32\1024\lda939.tmp c:\windows\system32\1024\ldaabf.tmp c:\windows\system32\1024\ldab3a.tmp c:\windows\system32\1024\ldac6.tmp c:\windows\system32\1024\ldac7e.tmp c:\windows\system32\1024\ldad52.tmp c:\windows\system32\1024\ldad68.tmp c:\windows\system32\1024\ldadd3.tmp c:\windows\system32\1024\ldade6.tmp c:\windows\system32\1024\ldae67.tmp c:\windows\system32\1024\ldaf08.tmp c:\windows\system32\1024\ldafd8.tmp c:\windows\system32\1024\ldafe.tmp c:\windows\system32\1024\ldb00.tmp c:\windows\system32\1024\ldb16.tmp c:\windows\system32\1024\ldb1e3.tmp c:\windows\system32\1024\ldb2f2.tmp c:\windows\system32\1024\ldb3d3.tmp c:\windows\system32\1024\ldb484.tmp c:\windows\system32\1024\ldb5.tmp c:\windows\system32\1024\ldb674.tmp c:\windows\system32\1024\ldb707.tmp c:\windows\system32\1024\ldb74d.tmp c:\windows\system32\1024\ldb895.tmp c:\windows\system32\1024\ldb910.tmp c:\windows\system32\1024\ldb94e.tmp c:\windows\system32\1024\ldba32.tmp c:\windows\system32\1024\ldbb59.tmp c:\windows\system32\1024\ldbbfd.tmp c:\windows\system32\1024\ldbc72.tmp c:\windows\system32\1024\ldbe4.tmp c:\windows\system32\1024\ldbe4d.tmp c:\windows\system32\1024\ldbebe.tmp c:\windows\system32\1024\ldbf0e.tmp c:\windows\system32\1024\ldbfa6.tmp c:\windows\system32\1024\ldbfc3.tmp c:\windows\system32\1024\ldc0fb.tmp c:\windows\system32\1024\ldc112.tmp c:\windows\system32\1024\ldc229.tmp c:\windows\system32\1024\ldc2af.tmp c:\windows\system32\1024\ldc327.tmp c:\windows\system32\1024\ldc4ad.tmp c:\windows\system32\1024\ldc4ed.tmp c:\windows\system32\1024\ldc559.tmp c:\windows\system32\1024\ldc5b1.tmp c:\windows\system32\1024\ldc938.tmp c:\windows\system32\1024\ldc9c5.tmp c:\windows\system32\1024\ldc9d3.tmp c:\windows\system32\1024\ldca1b.tmp c:\windows\system32\1024\ldcbc4.tmp c:\windows\system32\1024\ldcbce.tmp c:\windows\system32\1024\ldccd4.tmp c:\windows\system32\1024\ldcd65.tmp c:\windows\system32\1024\ldcde8.tmp c:\windows\system32\1024\ldcf77.tmp c:\windows\system32\1024\ldd017.tmp c:\windows\system32\1024\ldd050.tmp c:\windows\system32\1024\ldd067.tmp c:\windows\system32\1024\ldd0db.tmp c:\windows\system32\1024\ldd26c.tmp c:\windows\system32\1024\ldd2c6.tmp c:\windows\system32\1024\ldd379.tmp c:\windows\system32\1024\ldd625.tmp c:\windows\system32\1024\ldd639.tmp c:\windows\system32\1024\ldd6b0.tmp c:\windows\system32\1024\ldd6ca.tmp c:\windows\system32\1024\ldd73.tmp c:\windows\system32\1024\ldd777.tmp c:\windows\system32\1024\ldd828.tmp c:\windows\system32\1024\ldd8b.tmp c:\windows\system32\1024\ldd958.tmp c:\windows\system32\1024\lddbb8.tmp c:\windows\system32\1024\lddbc0.tmp c:\windows\system32\1024\lddc04.tmp c:\windows\system32\1024\lddc4b.tmp c:\windows\system32\1024\lddc62.tmp c:\windows\system32\1024\lddcec.tmp c:\windows\system32\1024\lddeaf.tmp c:\windows\system32\1024\lddff.tmp c:\windows\system32\1024\lde05d.tmp c:\windows\system32\1024\lde170.tmp c:\windows\system32\1024\lde1c8.tmp c:\windows\system32\1024\lde281.tmp c:\windows\system32\1024\lde2c7.tmp c:\windows\system32\1024\lde340.tmp c:\windows\system32\1024\lde348.tmp c:\windows\system32\1024\lde34c.tmp c:\windows\system32\1024\lde3ee.tmp c:\windows\system32\1024\lde482.tmp c:\windows\system32\1024\lde62c.tmp c:\windows\system32\1024\lde778.tmp c:\windows\system32\1024\lde78b.tmp c:\windows\system32\1024\lde79d.tmp c:\windows\system32\1024\lde7d2.tmp c:\windows\system32\1024\lde950.tmp c:\windows\system32\1024\lde999.tmp c:\windows\system32\1024\ldea7e.tmp c:\windows\system32\1024\ldea80.tmp c:\windows\system32\1024\ldec4e.tmp c:\windows\system32\1024\ldeca8.tmp c:\windows\system32\1024\lded2e.tmp c:\windows\system32\1024\lded73.tmp c:\windows\system32\1024\lded8.tmp c:\windows\system32\1024\lded8a.tmp c:\windows\system32\1024\ldee14.tmp c:\windows\system32\1024\ldeea1.tmp c:\windows\system32\1024\ldef1a.tmp c:\windows\system32\1024\ldef2f.tmp c:\windows\system32\1024\ldf05f.tmp c:\windows\system32\1024\ldf195.tmp c:\windows\system32\1024\ldf1d7.tmp c:\windows\system32\1024\ldf2d6.tmp c:\windows\system32\1024\ldf2f3.tmp c:\windows\system32\1024\ldf352.tmp c:\windows\system32\1024\ldf38a.tmp c:\windows\system32\1024\ldf42.tmp c:\windows\system32\1024\ldf461.tmp c:\windows\system32\1024\ldf5ca.tmp c:\windows\system32\1024\ldf6df.tmp c:\windows\system32\1024\ldf752.tmp c:\windows\system32\1024\ldf764.tmp c:\windows\system32\1024\ldf8bf.tmp c:\windows\system32\1024\ldf8c5.tmp c:\windows\system32\1024\ldf998.tmp c:\windows\system32\1024\ldfa48.tmp c:\windows\system32\1024\ldfa59.tmp c:\windows\system32\1024\ldfacc.tmp c:\windows\system32\1024\ldfb0f.tmp c:\windows\system32\1024\ldfbf6.tmp c:\windows\system32\1024\ldfd42.tmp c:\windows\system32\1024\ldfda0.tmp c:\windows\system32\1024\ldfde8.tmp c:\windows\system32\1024\ldfe1.tmp c:\windows\system32\1024\ldfea2.tmp c:\windows\system32\1024\ldfee9.tmp c:\windows\system32\1024\ldffd4.tmp Infected registry entries detected HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run wininet.dll MasMinutos Porn Dialer more information... Status: Deleted Infected files detected c:\dokumente und einstellungen\Alien\favoriten\~ vip free porn ~.url WinFixer Rogue Security Program more information... Details: WinFixer is a disabled data repair utility that nags the user to purchase it in order to fix the problems reported in its scan. Status: Deleted Infected files detected c:\windows\downloaded program files\uwa6p_0001_n91m1807netinstaller.exe WhenU.Save Adware (General) more information... Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing. Status: Deleted Infected files detected C:\Programme\BearShare\RunMSC.dll Infected registry entries detected HKEY_CLASSES_ROOT\runmsc.loader.1\clsid HKEY_CLASSES_ROOT\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07} HKEY_CLASSES_ROOT\runmsc.loader\clsid HKEY_CLASSES_ROOT\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07} HKEY_CLASSES_ROOT\runmsc.loader\curver HKEY_CLASSES_ROOT\runmsc.loader\curver RunMSC.Loader.1 HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0 HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1 HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905} HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg DisplayName WhenU Save HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg DisplayIcon C:\Programme\Save\save.exe,1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg DisplayVersion 3.60 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg HelpLink http://www.whenu.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg UrlInfoAbout http://www.whenu.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg Publisher WhenU.com, Inc. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg UninstallString "C:\Programme\Save\SaveUninst.exe" /w /d"WhenU Save" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WhenUSaveMsg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WhenUSaveMsg SlowInfoCache HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WhenUSaveMsg Changed 0 Trojan-Downloader.Gen Trojan Downloader more information... Details: Trojan-Downloader.Gen is a group of Trojan Downloaders which install download and install multiple unwanted applications of adware and malware from remote servers. Status: Deleted Infected files detected C:\VundoFix Backups\opnklji.dll.bad CoolWebSearch.CameUp Hijacker more information... Details: CoolWebSearch.CameUp is an adware application that hijacks the user's Internet Explorers start page, and prevents the user from changing the URL back to their preferred homepage. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Search Page_bak ClickSpring.PuritySCAN Adware (General) more information... Details: PurityScan is an ad supported program that scans the user's Internet Explorer files, including browser cache, cookies and history for pornographic/adult related words and allows the user to delete them. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin DisplayName Yazzle by OIN HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin UninstallString "C:\Programme\Gemeinsame Dateien\Y1123OU.exe" Cookie: Claria.DashBar Cookie Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\alien\cookies\administrator@belnk[2].txt c:\dokumente und einstellungen\alien\cookies\alien@belnk[1].txt Cookie: Ajan 1.0 Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\alien\cookies\administrator@xiti[1].txt Cookie: ad.yieldmanager Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\alien\cookies\alien@ad.yieldmanager[1].txt c:\dokumente und einstellungen\alien\cookies\alien@ad.yieldmanager[3].txt Cookie: PriceBandit Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\alien\cookies\alien@apmebf[1].txt Dieser Beitrag wurde am 27.09.2006 um 13:26 Uhr von Aliennod editiert.
|
|
|
||
27.09.2006, 16:06
Ehrenmitglied
Beiträge: 29434 |
#22
Aliennod
1. Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k 2. scanne mit smitfraudfix (option 1 und 2) - poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html 3. fixe mit dem HijackThis: Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.comPC neustarten «« neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein «« scanne mit panda und mit ewido und poste die scanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2006, 22:20
Member
Beiträge: 29 |
#23
1. ausgeführt.
2. werd ich morgen machen, muss ins bett ^^ 3. entschuldige vielmals, habe aus Versehen das alte log gepostet, hier das neue: Logfile of HijackThis v1.99.1 Scan saved at 22:16:49, on 27.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\Razer\razerhid.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\inKline Global\PC Booster\pcbooster.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Razer\razertra.exe C:\Programme\Razer\razerofa.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunServer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Dokumente und Einstellungen\Alien\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sclach.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: (no name) - {D4CA844B-BB90-451D-9A8C-CD13107D55A6} - C:\WINDOWS\system32\jkhhe.dll (file missing) O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [CounterSpyCleaner] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunASCleaner.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Pinnacle Scheduler.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe neue startseite: öhm, hab ich doch gemacht die andern beiden scan reports von panda und ewido werde ich ebenfalls morgen nachmittag vorlegen... greetz and big thanks. Alien |
|
|
||
28.09.2006, 02:58
...neu hier
Beiträge: 4 |
#24
Hi,
Bin neu hier Bitte nichts formatieren! Schad drum... Na im Ernst. Ich hab bis gestern das gleiche Problem gehabt. War mir aber zu blöd mit dem abgesicherten Modus. Bitte in WIN32, dll cache gehen und den Störenfried, bei mir hiess er mcjgefc.dll, umbenennen, (muss man manuell machen....kann der AV nicht) z.B. statt dll in dl, wie bei mir. Sclagartig ist der Spuk vorbei, der AV sagt auch nix mehr dazu. Nix löschen, einfach legen lassen. Is natürlich nicht alles weg, aber wo keine dll, da kein ausführbarer code. Probiers mal, dauert keine 2 Minuten und Du bist den Mist los. Schreib mal bitte über den Erfolg. Gruss aus Tirol: Peter, crashdump64, oe7psh |
|
|
||
28.09.2006, 09:31
Ehrenmitglied
Beiträge: 29434 |
#25
Aliennod
Fixe mit dem HijackThis: O2 - BHO: (no name) - {D4CA844B-BB90-451D-9A8C-CD13107D55A6} - C:\WINDOWS\system32\jkhhe.dll (file missing) PC neustarten ** scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.09.2006, 09:32
Ehrenmitglied
Beiträge: 29434 |
#26
crashdump64
es waere schoen, wenn die malware nur aus EINER dll bestehen wuerde, leider ist es nicht so und die virenscanner finden nicht alles __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.09.2006, 13:49
...neu hier
Beiträge: 4 |
#27
Hi, Bitte nicht missverstehen. Es ging in erster Linie um die lästigen meldungen des AV. Ich konnte überhaupt nicht mehr arbeiten und der Explorer ging auch nicht mehr. Um explizit nach Müll zu suchen, muss wenigstens die Maschine wieder laufen. Hab alle möglichen scans gemacht und die Sache scheint clean zu sein. Da fiel mir das alte Hausrezept ein. (Der AV kann ihn nämlich nicht umbenennen, obwohl die Option vorhanden ist, erkennt es anscheinend als Systemdatei). Also ein manueller Eingriff mit durchschlagendem Erfolg. Hat keine 2 Minuten gedauert und alles läuft wieder normal. Jetzt kann man definitiv weitermachen. Die Frage ist nur ob es sinnvoll ist. Sollen ruhig paar Dateileichen rumliegen. Wenn sie nicht ausgeführt werden ist es doch Unsinn, das ganze System zu sezieren......
Keine dll, keine Aktivität, d.h. keine bösartige Action. Das war der Hintergedanke. Es sollte möglich sein, verdächtige Einträge auch von Hand umzubenennen und zu sehen, wie sich das System verhält. Ob es sinnvoll ist, sei dahingestellt....... Nicht bös sein, sollte doch keine Kritik sein Viele Grüsse aus Tirol Crashdump64, oe7psh |
|
|
||
07.10.2006, 21:41
...neu hier
Beiträge: 5 |
#28
HI leute, hab das gleiche problem . aber ich versteh die Erklärungen nicht
Danke im voraus. Logfile of HijackThis v1.98.2 Scan saved at 21:31:48, on 07.10.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\0190 Warner\w0svc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\DU Meter\DUMeter.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ipwins\ipwins.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Duc\Desktop\1_98_2.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2DA09D08-2367-4474-A1C0-B53DBAA542FA} - C:\WINDOWS\System32\gebyx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O15 - Trusted Zone: http://locator.cdn.imageservr.com O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O21 - SSODL: altmannsberger - {210b4043-35ca-4aa0-8796-191f9663dfb3} - (no file) danke nochma |
|
|
||
08.10.2006, 09:02
Ehrenmitglied
Beiträge: 29434 |
#29
sasuke
0. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Folders to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 1. poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.10.2006, 10:27
...neu hier
Beiträge: 5 |
#30
Zuerst danke ich die, dass du so schnell geantwortest hattest. HIer sind die Schritte:
ZU 1. kopiert dieses Log ComboFix 06.09.28 - Running from: "C:\Programme\Mozilla Firefox" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Inetget2 C:\Programme\Gemeinsame Dateien\{B884ED2A-06A4-1031-1016-011018010031} ((((((((((((((((((((((((((((((( Files Created from 2006-09-08 to 2006-10-08 )))))))))))))))))))))))))))))))))) 2006-10-07 21:15 218,112 --a------ C:\WINDOWS\system32\HijackThis.exe 2006-10-06 15:24 2,116,992 --a------ C:\WINDOWS\system32\TUKernel.exe 2006-10-05 14:13 86,016 --a------ C:\WINDOWS\unvise32qt.exe 2006-10-05 13:29 118,272 --a------ C:\WINDOWS\W0190WUn.EXE 2006-10-02 19:42 20,640 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys 2006-10-02 19:42 109,568 --------- C:\WINDOWS\system32\pxinsi64.exe 2006-10-02 19:42 108,544 --------- C:\WINDOWS\system32\pxcpyi64.exe 2006-09-29 16:10 0 --a------ C:\WINDOWS\system32\setup_14733.exe 2006-09-26 13:29 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll 2006-09-23 10:01 0 --a------ C:\WINDOWS\system32\rwnt.exe 2006-09-18 20:11 778,240 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2006-09-18 20:11 778,240 --a------ C:\WINDOWS\system32\divx_xx07.dll 2006-09-18 20:11 761,856 --a------ C:\WINDOWS\system32\divx_xx11.dll 2006-09-18 20:11 620,180 --a------ C:\WINDOWS\system32\DivX.dll 2006-09-10 13:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll 2006-09-10 11:15 212,480 --a------ C:\WINDOWS\pcdlib32.dll 2006-09-10 11:06 50,176 --a------ C:\WINDOWS\system32\vfwwdm32.dll 2006-09-10 11:01 61,440 --a------ C:\WINDOWS\system32\dcccp106.dll 2006-09-10 11:01 45,056 --a------ C:\WINDOWS\system32\vcccp106.dll 2006-09-10 11:01 36,864 --a------ C:\WINDOWS\CleanDev.exe 2006-09-10 11:01 227,200 --a------ C:\WINDOWS\system32\drivers\cccp106.sys 2006-09-10 11:01 192,512 --a------ C:\WINDOWS\select2.exe 2006-09-10 10:55 182,880 --a------ C:\WINDOWS\system32\iuengine.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-08 10:10 992682 ---hs---- C:\WINDOWS\system32\xybeg.ini2 2006-10-08 10:10 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-10-08 10:09 -------- d-------- C:\Programme\Mozilla Firefox 2006-10-08 10:07 991342 ---hs---- C:\WINDOWS\system32\xybeg.bak2 2006-10-08 10:06 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Skype 2006-10-07 10:25 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\MetaCafe 2006-10-07 09:08 0 --a------ C:\WINDOWS\system32\hqghumea.dll 2006-10-06 22:28 -------- d-------- C:\Programme\Metacafe 2006-10-06 17:06 -------- d-------- C:\Programme\Frikik 2006-10-05 20:00 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Adobe 2006-10-05 14:13 -------- d-------- C:\Programme\QuickTime 2006-10-05 13:37 -------- d-------- C:\Programme\Lavasoft 2006-10-05 13:37 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Lavasoft 2006-10-05 13:30 159769 --a------ C:\WINDOWS\system32\rasapi32.dll 2006-10-05 13:29 -------- d-------- C:\Programme\0190 Warner 2006-10-03 13:18 -------- d---s---- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Microsoft 2006-10-02 20:33 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-10-02 20:33 -------- d-------- C:\Programme\Windows Media Player 2006-10-02 20:33 -------- d-------- C:\Programme\CyberLink 2006-10-02 19:43 -------- d-------- C:\Programme\DivX 2006-10-01 16:50 -------- d-------- C:\Programme\FlashGet 2006-09-30 18:51 -------- d-------- C:\Programme\TrackMania Nations ESWC 2006-09-30 10:56 -------- d-------- C:\Programme\TrackMania Sunrise 2006-09-26 16:15 259 --a------ C:\WINDOWS\system32\Mswinmask32.dll 2006-09-26 14:24 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll 2006-09-26 14:24 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll 2006-09-26 14:24 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll 2006-09-26 13:29 -------- d-------- C:\Programme\SYBEX 2006-09-24 17:54 -------- d-------- C:\Programme\Little Fighter Thunder 2006-09-23 17:30 -------- d-------- C:\Programme\Ricochet 2006-09-23 16:44 -------- d-------- C:\Programme\Black Isle 2006-09-20 16:20 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2006-09-20 16:18 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe 2006-09-20 16:15 -------- d-------- C:\Programme\Adobe 2006-09-15 16:22 -------- d-------- C:\Programme\ICQToolbar 2006-09-14 22:33 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\Borland 2006-09-14 22:23 -------- d-------- C:\Programme\BrainSpeeder 2006-09-14 22:16 -------- d-------- C:\Programme\Gemeinsame Dateien\Borland Shared 2006-09-14 21:55 -------- d-------- C:\Programme\Borland 2006-09-14 21:38 -------- d-------- C:\Programme\Microsoft Office 2006-09-14 21:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2006-09-14 21:37 -------- d-------- C:\Programme\Microsoft.NET 2006-09-14 21:37 -------- d-------- C:\Programme\Microsoft Visual Studio .NET 2003 2006-09-13 22:23 -------- d-------- C:\Programme\EA GAMES 2006-09-13 20:47 -------- d-------- C:\Programme\Outlook Express 2006-09-13 20:47 -------- d-------- C:\Programme\Gemeinsame Dateien\System 2006-09-13 20:47 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste 2006-09-13 20:43 -------- d-------- C:\Programme\Internet Explorer 2006-09-13 17:19 -------- d-------- C:\Programme\MSXML 4.0 2006-09-11 16:06 -------- d-------- C:\Programme\CENEGA 2006-09-11 16:05 -------- d-------- C:\Programme\Grandia2 2006-09-11 16:04 -------- d-------- C:\Programme\Black Sheep Studio 2006-09-10 11:35 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\ArcSoft 2006-09-10 11:15 -------- d-------- C:\Programme\ArcSoft 2006-09-10 11:03 -------- d-------- C:\Programme\Aashima 2006-09-10 11:02 -------- d-------- C:\Programme\directx 2006-09-10 10:57 -------- d--h----- C:\Programme\WindowsUpdate 2006-09-09 12:40 -------- d-------- C:\Programme\Skype 2006-09-08 21:40 -------- d-------- C:\Programme\dtp 2006-09-03 09:13 -------- d-------- C:\Programme\Warcraft III 2006-09-01 20:06 -------- d-------- C:\Programme\Kroetenstuhl_Saga 2006-09-01 19:56 -------- d-------- C:\Programme\ASCII 2006-08-30 19:00 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2006-08-30 19:00 165376 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2006-08-30 15:16 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\tippfix1_1 2006-08-28 19:54 -------- d-------- C:\Programme\Ashampoo 2006-08-28 18:46 -------- d-------- C:\Programme\TDK 2006-08-28 18:44 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2006-08-26 10:09 -------- d-------- C:\Programme\GT Interactive 2006-08-24 16:27 -------- d-------- C:\Programme\Alcohol Soft 2006-08-24 16:10 89984 --a------ C:\WINDOWS\system32\drivers\sptd1437.sys 2006-08-24 16:10 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2006-08-23 14:30 -------- d-------- C:\Dokumente und Einstellungen\Duc\Anwendungsdaten\MSN6 2006-08-21 19:51 -------- d-------- C:\Programme\DU Meter 2006-08-18 20:02 -------- d-------- C:\Programme\SlySoft 2006-08-18 19:36 -------- d-------- C:\Programme\ahead 2006-08-18 14:24 13844 --a------ C:\WINDOWS\system32\gshbsitt.exe 2006-08-18 14:12 13844 --a------ C:\WINDOWS\system32\gqosfffl.exe 2006-08-18 13:58 13844 --a------ C:\WINDOWS\system32\wffiblqy.exe 2006-08-17 13:58 12820 --a------ C:\WINDOWS\system32\gnxbgxvm.exe 2006-08-16 11:03 -------- d-------- C:\Programme\ElcomSoft 2006-08-15 19:33 0 --a------ C:\WINDOWS\system32\eraseme_58207.exe 2006-08-15 13:52 12400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys 2006-08-11 19:35 520192 --a------ C:\WINDOWS\system32\DivXsm.exe 2006-08-11 19:35 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2006-08-11 19:35 200704 --a------ C:\WINDOWS\system32\ssldivx.dll 2006-08-11 19:35 1044480 --a------ C:\WINDOWS\system32\libdivx.dll 2006-08-11 19:31 73728 --a------ C:\WINDOWS\system32\dpl100.dll 2006-08-11 19:31 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll 2006-08-11 19:31 57344 --a------ C:\WINDOWS\system32\dpv11.dll 2006-08-11 19:31 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll 2006-08-11 19:31 344064 --a------ C:\WINDOWS\system32\dpus11.dll 2006-08-11 19:31 294912 --a------ C:\WINDOWS\system32\dpu11.dll 2006-08-11 19:31 294912 --a------ C:\WINDOWS\system32\dpu10.dll 2006-08-11 19:31 196608 --a------ C:\WINDOWS\system32\dtu100.dll 2006-08-11 19:31 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2006-08-11 19:31 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe 2006-08-08 16:50 -------- d-------- C:\Programme\ParentsFriend 2006-08-03 21:14 0 --a------ C:\WINDOWS\system32\qghumeay.dll 2006-08-01 13:59 573492 --------- C:\WINDOWS\system32\gebyx.dll 2006-07-23 17:05 4608 --a------ C:\WINDOWS\system32\w95inf32.dll 2006-07-23 17:05 2272 --a------ C:\WINDOWS\system32\w95inf16.dll 2006-07-12 15:00 57384 --a------ C:\WINDOWS\system32\avsda.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe" "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "Yahoo! Pager"="\"C:\\Programme\\Yahoo!\\Messenger\\ypager.exe\" -quiet" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MPFExe"="C:\\PROGRA~1\\McAfee.com\\PERSON~1\\MpfTray.exe" "MCAgentExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "NeroCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "MCUpdateExe"="C:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe" "DU Meter"="C:\\Programme\\DU Meter\\DUMeter.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,dd,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "NoDrives"=hex:00,00,00,00 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "NoDrives"=hex:00,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "Yahoo! Pager"="\"C:\\Programme\\Yahoo!\\Messenger\\ypager.exe\" -quiet" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "VirtualCloneDrive"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s" "MCUpdateExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe" "UnlockerAssistant"="\"C:\\Programme\\Unlocker\\UnlockerAssistant.exe\" -H" "CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "McRegWiz"="C:\\PROGRA~1\\McAfee.com\\Agent\\mcregwiz.exe /autorun" "nwiz"="nwiz.exe /install" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "DU Meter"="C:\\Programme\\DU Meter\\DUMeter.exe" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "0190 Warner"="C:\\PROGRA~1\\0190WA~1\\WARN0190.EXE" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyx HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winfda32 HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job Completion time: 08.10.2006 10:10:56.20 ComboFix.txt ----------------------------------------------- zu 2. hab ich schon ---------------------------------------------- zu 3.1. Datentr„ger in Laufwerk C: ist XP Pro Volumeseriennummer: B884-ED2A Verzeichnis von C:\WINDOWS\system32 08.10.2006 10:17 0 xybeg.tmp2 08.10.2006 10:17 992.682 xybeg.ini2 08.10.2006 10:07 991.342 xybeg.bak2 08.10.2006 10:06 105.952 Status.MPF 08.10.2006 10:05 43.573 nvapps.xml 07.10.2006 21:17 6.714 hijackthis.log 07.10.2006 09:08 0 hqghumea.dll 06.10.2006 15:39 2.116.992 TUKernel.exe 05.10.2006 14:13 5.028 qtplugin.log 05.10.2006 13:30 159.769 rasapi32.dll 05.10.2006 13:30 159.769 rasTMP.tmp 05.10.2006 06:34 2.184 wpa.dbl 04.10.2006 16:19 383.254 perfh009.dat 04.10.2006 16:19 53.608 perfc009.dat 04.10.2006 16:19 394.500 perfh007.dat 04.10.2006 16:19 64.598 perfc007.dat 04.10.2006 16:19 906.552 PerfStringBackup.INI 02.10.2006 20:33 16.832 amcompat.tlb 02.10.2006 20:33 23.392 nscompat.tlb 01.10.2006 20:27 97 mcrh.tmp 01.10.2006 17:19 218.112 HijackThis.exe 29.09.2006 16:10 0 setup_14733.exe 29.09.2006 16:10 70 i 26.09.2006 16:15 259 Mswinmask32.dll 26.09.2006 14:24 21.840 SIntfNT.dll 26.09.2006 14:24 17.212 SIntf32.dll 26.09.2006 14:24 12.067 SIntf16.dll 24.09.2006 16:44 0 rwnt.exe 18.09.2006 20:11 778.240 divx_xx07.dll 18.09.2006 20:11 778.240 divx_xx0c.dll 18.09.2006 20:11 761.856 divx_xx11.dll 18.09.2006 20:11 620.180 DivX.dll 29.08.2006 19:07 692.665 xybeg.tmp 29.08.2006 14:59 692.665 xybeg.ini 18.08.2006 14:24 13.844 gshbsitt.exe 18.08.2006 14:12 13.844 gqosfffl.exe 18.08.2006 13:58 13.844 wffiblqy.exe 17.08.2006 13:58 12.820 gnxbgxvm.exe 15.08.2006 19:33 0 eraseme_58207.exe 13.08.2006 13:31 240.736 FNTCACHE.DAT 13.08.2006 08:53 1.479 daoSetup.log 11.08.2006 19:35 4.276 divxsm.tlb 11.08.2006 19:35 520.192 DivXsm.exe 11.08.2006 19:35 10.863 dsm_ja.qm 11.08.2006 19:35 15.299 dsm_fr.qm 11.08.2006 19:35 15.507 dsm_de.qm 11.08.2006 19:35 3.596.288 qt-dx331.dll 11.08.2006 19:35 421.888 pxdrv.dll 11.08.2006 19:35 108.544 pxcpyi64.exe 11.08.2006 19:35 109.568 pxinsi64.exe 11.08.2006 19:35 172.032 pxmas.dll 11.08.2006 19:35 372.736 px.dll 11.08.2006 19:35 56.832 pxcpya64.exe 11.08.2006 19:35 61.440 pxhpinst.exe 11.08.2006 19:35 56.320 pxinsa64.exe 11.08.2006 19:35 339.968 pxwave.dll 11.08.2006 19:35 28.672 vxblock.dll 11.08.2006 19:35 1.044.480 libdivx.dll 11.08.2006 19:35 200.704 ssldivx.dll 11.08.2006 19:31 73.728 dpl100.dll 11.08.2006 19:31 196.608 dtu100.dll 11.08.2006 19:31 53.248 dpuGUI10.dll 11.08.2006 19:31 593.920 dpuGUI11.dll 11.08.2006 19:31 344.064 dpus11.dll 11.08.2006 19:31 57.344 dpv11.dll 11.08.2006 19:31 294.912 dpu10.dll 11.08.2006 19:31 294.912 dpu11.dll 11.08.2006 19:31 704.512 divxdec.ax 11.08.2006 19:31 352.401 DivXMedia.ax 11.08.2006 19:31 12.288 DivXWMPExtType.dll 11.08.2006 19:31 118.784 DivXCodecUpdateChecker.exe 11.08.2006 19:31 8.523 dpude.qm 11.08.2006 19:31 3.136 dtu_de.qm 03.08.2006 21:14 0 qghumeay.dll 01.08.2006 13:59 573.492 gebyx.dll 23.07.2006 17:05 2.272 w95inf16.dll 23.07.2006 17:05 4.608 w95inf32.dll 18.07.2006 15:58 7.006 jupdate-1.5.0_06-b05.log 12.07.2006 15:00 57.384 avsda.dll 09.07.2006 18:16 4.286 ot.ico 09.07.2006 18:16 4.286 ts.ico 03.07.2006 15:40 0 TFTP1224 ------------------------------------------ 3.2 Datentr„ger in Laufwerk C: ist XP Pro Volumeseriennummer: B884-ED2A Verzeichnis von C:\DOKUME~1\Duc\LOKALE~1\Temp 08.10.2006 10:15 204 jusched.log 1 Datei(en) 204 Bytes 0 Verzeichnis(se), 7.175.909.376 Bytes frei -------------------------------------------- 3.3 Datentr„ger in Laufwerk C: ist XP Pro Volumeseriennummer: B884-ED2A Verzeichnis von C:\WINDOWS 08.10.2006 10:06 0 0.log 08.10.2006 10:06 157 wiadebug.log 08.10.2006 10:06 50 wiaservc.log 08.10.2006 10:04 2.048 bootstat.dat 08.10.2006 10:03 32.550 SchedLgU.Txt 08.10.2006 10:00 825.026 setupapi.log 06.10.2006 22:15 1.081 IE4 Error Log.txt 06.10.2006 17:07 834 cncscore.ini 05.10.2006 13:29 2.384 0190Warner_Uninstall.ins 02.10.2006 20:33 50.361 wmsetup.log 30.09.2006 11:15 1.089 disney.ini 26.09.2006 13:30 76.283 DirectX.log 17.09.2006 13:34 214 SIERRA.INI 15.09.2006 16:21 323 doom3.ini 13.09.2006 20:47 992 OEWABLog.txt 13.09.2006 20:43 11.791 Active Setup Log.txt 13.09.2006 19:19 1.693 Active Setup Log.BAK 13.09.2006 17:13 1.300 KB867460.log 13.09.2006 17:07 1.442 COM+.log 10.09.2006 11:08 12.104 Windows Update.log 28.08.2006 13:59 63 frikikmulti.ini 18.08.2006 12:32 73 ECMM_SAVER.INI 16.08.2006 11:06 68 Awpr.ini 30.07.2006 09:34 107.678 War3Unin.dat 28.07.2006 18:08 133 pink 26.07.2006 15:05 581 eReg.dat 18.07.2006 15:58 4.583 mozver.dat -------------------------------------------- ABer was ich nicht verstehe sind die 4. 5. und 6 logs. was soll man da machen? mfg sasuke |
|
|
||
Der Avenger präsentiert mir jedesmal nur Fehlermeldungen und erreicht leider gar nichts. Ich habe mich jetzt aber entschieden zu formatieren - da das System sowieso recht frisch ist, ist das kein großer Aufwand.
Gibt es denn irgendwelche Möglichkeiten so etwas zu vermeiden? SP2 werde ich installieren, schließt das die Sicherheitslücken wirklich weitestgehen? Oder gibt es noch andere Tipps?
Und was ich jetzt mal sagen muss: Vielen Dank für die große Mühe, die hier darauf verwendet wird, Leuten mit ihren Problemen zu helfen! So etwas ist echt klasse.