Unterstützung zur Beseitigung von Spyquake benötigt!

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.09.2006, 12:29
Member

Beiträge: 17
#1 hallo Liebe Community,

ich habe bezüglich der entfernung des Spyquake Viruses ein paar fragen!

Laut der Anleitung soll man ja folgendes abarbeiten:

vorher folgendes abarbeiten :

1.
smitfraud.fix anwenden (option 1 und 2 ) - auch die Registry mitreinigen lassen
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

3.
roguescanfix.exe
[url]http://www.martijnc.be/tools/roguescanfix.exe [/url]

und dann die besagten logs schicken damit einem geholfen werden kann!

Nun zu meinem Problem,
wir sitzen hier in einem Firmennetzwerk und der infizierte rechner gehört einem bekannten!
Kann ich den infizierten rechner ins netz integrieren ohne das die anderen aufeinmal auch davon betroffen sind, oder verbreitet der sich?

mfg René
Dieser Beitrag wurde am 21.09.2006 um 14:47 Uhr von Rene09 editiert.
Seitenanfang Seitenende
21.09.2006, 12:41
Moderator

Beiträge: 7805
#2 Nein! Auch wenn die von dir angegebene Malware nicht dafuer bekannt ist sich ueber das Netzwerk zu verbreiten, bzw informatioenen ueber das Netzwerk zu sammeln und verschicken, kann man ja nicht wissen, ob das alles ist, was bei dem Rechner infiziert ist.

Die von dir genannten Tools benoetigen alle keinen IOnternetzugriff. Du kannst die Dateien auf ein USB Stick oder Disk packen und auf den infizierten Rechner ausfuehren. (Nur)Mit den Logs kannst du dann den selben Weg rueckwaerts gehen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2006, 13:53
Member

Themenstarter

Beiträge: 17
#3 so ich hoffe ich hab alles richtig gemacht!

äußern tut sich der Spyquake durch das fenstern unten rechts in der taskleiste!


hier die logs:



HIJACKTHIS


Logfile of HijackThis v1.99.1
Scan saved at 13:37:27, on 21.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\X Password Manager\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [oeuai] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\tofareraci\systvmrs.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.hastalavista.it
O15 - Trusted Zone: *.p0rt2.com
O15 - Trusted Zone: www.pornoaccesso.com
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.superspots.biz
O15 - Trusted Zone: www.xxx-content.name
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140015621125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144775455281
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B3DB777-DF89-4B39-A7FF-17E9AF82FA7D}: NameServer = 85.255.116.93,85.255.112.78
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B3DB777-DF89-4B39-A7FF-17E9AF82FA7D}: NameServer = 85.255.116.93,85.255.112.78
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll



COMBOFIX


Besitzer - 06-09-21 13:48:06,70 Service Pack 2
ComboFix 06.09.21 - Running from: "C:\"

((((((((((((((((((((((((((((((( Files Created from 2006-08-21 to 2006-09-21 ))))))))))))))))))))))))))))))))))


2006-09-21 13:42 339,257 --a------ C:\CleanUp452.exe
2006-09-21 13:42 276,134 --a------ C:\combofix.exe
2006-09-21 13:24 1,204,224 --------- C:\WINDOWS\UNMRW.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-21 13:42 -------- d-------- C:\Programme\CleanUp!
2006-09-21 13:24 -------- d-------- C:\Programme\Ahead
2006-09-20 20:37 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-09-20 19:36 -------- d-------- C:\Programme\Ashampoo
2006-09-20 19:10 -------- d-------- C:\Programme\Enigma Software Group
2006-09-20 18:55 -------- d-------- C:\Programme\RegCleaner
2006-09-20 18:44 -------- d-------- C:\Programme\Mathris
2006-09-20 18:44 -------- d-------- C:\Programme\Internet Explorer
2006-09-19 19:46 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-19 19:46 -------- d-------- C:\Programme\EPSON
2006-09-19 19:27 -------- d-------- C:\Programme\Lavasoft
2006-09-19 19:27 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Lavasoft
2006-09-19 18:35 -------- d-------- C:\Programme\NetMeeting
2006-09-19 18:35 -------- d-------- C:\Programme\Messenger
2006-09-19 18:35 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-19 18:35 -------- d-------- C:\Programme\fsupport
2006-07-29 18:50 -------- d-------- C:\Programme\Norton AntiVirus
2006-07-29 15:31 -------- d-------- C:\Programme\Common Files


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"oeuai"="C:\\Dokumente und Einstellungen\\Besitzer\\Anwendungsdaten\\tofareraci\\systvmrs.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoBandCustomize"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sinus 154 stick WLAN Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Sinus 154 stick WLAN Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\Sinus 154 stick WLAN Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\DT\\SINUS1~1\\Wifiusb.exe "
"item"="Sinus 154 stick WLAN Manager"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ccApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccApp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CompanionWizard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="compwiz"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Common Files\\Companion Wizard\\compwiz.exe\" /silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\dmxlg.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dmxlg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\dmxlg.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Error Safe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ers"
"hkey"="HKCU"
"command"="C:\\Programme\\Error Safe\\ers.exe /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\License Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="license_manager"
"hkey"="HKCU"
"command"="\"C:\\Programme\\License_Manager\\license_manager.exe \" /silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\seekmo]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="seekmo"
"hkey"="HKLM"
"command"="\"c:\\programme\\seekmo\\seekmo.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyHunter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SpyHunter"
"hkey"="HKLM"
"command"="C:\\Programme\\Enigma Software Group\\SpyHunter\\SpyHunter.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyQuake2.com]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Spy-Quake2"
"hkey"="HKLM"
"command"="C:\\Programme\\SpyQuake2.com\\Spy-Quake2.exe /h"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UnSpyPC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UnSpyPC"
"hkey"="HKCU"
"command"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\""
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 21.09.2006 13:48:31.10
ComboFix.txt




vielen dank
Seitenanfang Seitenende
22.09.2006, 01:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Rene09

falls es ein Firmenrechner ist - muss er sofort formatiert werden !!!!!!!
auf dem rechner sind verschiedene Verseuchungen, die Internetverbindung wird auf einen Server in die Ukraine umgeleitet, ich brauche viele logs....

-------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html

4.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

X Password Manager
{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}
{a2595f37-48d0-46a1-9b51-478591a97764}
UnSpyPC


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

Download Location Report this Link as Broken
License: Freeware RegSearch Download Link


-------------------------------------------------------------------
1.Teil der Reinigung

5.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\dmxlg.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Error Safe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UnSpyPC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyQuake2.com

Files to delete:
C:\WINDOWS\system32\mzoeut.dll

Folders to delete:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\tofareraci
C:\Programme\X Password Manager
C:\Programme\UnSpyPC
C:\Programme\SpyQuake2.com
C:\Programme\Error Safe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2006, 14:39
Member

Themenstarter

Beiträge: 17
#5 Ok Sabina, ich hoffe du bist heute Abend da ;) ich bin zur zeit alleine im shop und kann erst heute Abend daran arbeiten! so ab 18.30uhr ;)

Und nein es ist kein Firmenrechner es ist ein rechner von einem "Kunden" und ich muss hier in der Firma daran arbeiten übers firmennetzwerk und deswegen war die vorabfrage ob die firmenrechner lieber von netz getrennt werden sollten bevor der da drin ist ;)

also kann ich erst abends wenn die firmenrechner aus sind an dem pc arbeiten ;)

mfg René
Dieser Beitrag wurde am 22.09.2006 um 14:51 Uhr von Rene09 editiert.
Seitenanfang Seitenende
22.09.2006, 14:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 dann poste alle logs, und fuehre den ersten teil der Reinigung aus.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2006, 19:17
Member

Themenstarter

Beiträge: 17
#7 CleanUp! started on 09/22/06 18:34:52.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006092120060922\index.dat - deleted
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006092120060922\ - deleted
'Typed URLs' (Internet Explorer) - removed from the registry.
C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Besitzer\Recent\CleanUp!.lnk - deleted
C:\Dokumente und Einstellungen\Besitzer\Recent\ComboFix.lnk - deleted
C:\Dokumente und Einstellungen\Besitzer\Recent\Logs.lnk - deleted
C:\Dokumente und Einstellungen\Besitzer\Recent\Lokaler Datenträger (C).lnk - deleted
C:\Dokumente und Einstellungen\Besitzer\Recent\readme.lnk - deleted
C:\WINDOWS\temp\WGAErrLog.txt - deleted
C:\WINDOWS\temp\WGANotify.settings - deleted
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\Prefetch\CLEANUP.EXE-3438663A.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP452.EXE-30300A91.pf - deleted
C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted
C:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf - deleted
C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted
C:\WINDOWS\Prefetch\NDETECT.EXE-38C3701D.pf - deleted
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted
C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted
C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf - deleted
C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf - deleted
C:\WINDOWS\Prefetch\WGATRAY.EXE-0ED38BED.pf - deleted
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted
'Run MRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 803.4 KB of disk space from 22 files.
CleanUp! finished on 09/22/06 18:34:53.


------------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\system32

22.09.2006 18:32 13.646 wpa.dbl
20.09.2006 10:58 39.992 perfc009.dat
20.09.2006 10:58 311.604 perfh009.dat
20.09.2006 10:58 316.594 perfh007.dat
20.09.2006 10:58 48.156 perfc007.dat
20.09.2006 10:58 721.390 PerfStringBackup.INI
19.09.2006 19:06 2 stera.job
29.07.2006 15:49 2 stera.log
12.07.2006 08:43 308 results.txt
11.07.2006 12:58 111.784 FNTCACHE.DAT
07.07.2006 03:21 6.757.792 MRT.exe
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll

------------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp


------------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS

22.09.2006 18:21 0 0.log
22.09.2006 18:20 2.048 bootstat.dat
21.09.2006 15:59 1.650.942 WindowsUpdate.log
21.09.2006 15:59 32.642 SchedLgU.Txt
21.09.2006 13:40 487 win.ini
21.09.2006 13:40 227 system.ini
20.09.2006 20:41 547.100 ntbtlog.txt
20.09.2006 18:50 664.109 setupapi.log
20.09.2006 10:58 90.807 iis6.log
20.09.2006 10:58 150.749 comsetup.log
20.09.2006 10:58 92.679 ntdtcsetup.log
20.09.2006 10:58 20.306 ocmsn.log
20.09.2006 10:58 4.566 imsins.log
20.09.2006 10:58 236.541 tsoc.log
20.09.2006 10:58 325.210 ocgen.log
20.09.2006 10:58 30.452 msgsocm.log
20.09.2006 10:58 589.284 FaxSetup.log
28.07.2006 18:41 24.294 wmsetup.log
12.07.2006 19:17 1.374 imsins.BAK
12.07.2006 19:17 12.480 KB917159.log
12.07.2006 19:14 12.350 KB914388.log
12.07.2006 19:14 33.236 updspapi.log
12.07.2006 19:13 10.319 KB916595.log
06.07.2006 15:14 6.008 WgaNotify.log
19.06.2006 10:24 32.620 spupdsvc.log
18.06.2006 13:16 5.871 KB917734.log
16.06.2006 13:31 14.021 KB918439.log
16.06.2006 13:31 14.379 KB917344.log
16.06.2006 13:31 14.151 KB917953.log
16.06.2006 13:31 14.140 KB911280.log
16.06.2006 13:31 18.041 KB916281.log
16.06.2006 13:30 11.912 KB914389.log
09.05.2006 19:53 11.684 KB913580.log
03.05.2006 17:09 1.024 ppengine.ini


------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\

22.09.2006 18:39 0 sys.txt
22.09.2006 18:39 7.661 system.txt
22.09.2006 18:39 136 systemtemp.txt
22.09.2006 18:39 89.921 system32.txt
22.09.2006 18:20 804.503.552 pagefile.sys
21.09.2006 13:40 211 boot.ini
21.09.2006 13:04 339.257 CleanUp452.exe
09.04.2006 13:32 204 remme.bat
15.02.2006 17:50 47.564 NTDETECT.COM

------------------------------------------------------------------

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


------------------------------------------------------------------

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 22.09.2006 19:15:25 for strings:
; 'x password manager'
; '{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}'
; '{a2595f37-48d0-46a1-9b51-478591a97764}'
; 'unspypc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}\Implemented Categories\{00021493-0000-0000-C000-000000000046}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}\InprocServer32]
@="C:\\Programme\\X Password Manager\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnSpyPC]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnSpyPC]
"item"="UnSpyPC"
"command"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\X Password Manager]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Internet Security]
"Path"="C:\\Programme\\X Password Manager"

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
; Contents of value:
; 7_y¢Ðh¡f›qg…‘©wd
"{A2595F37-48D0-46A1-9B51-478591A97764}"=hex:37,5f,59,a2,d0,48,a1,46,9b,51,47,\
85,91,a9,77,64

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\X Password Manager]

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A2595F37-48D0-46A1-9B51-478591A97764}]

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A2595F37-48D0-46A1-9B51-478591A97764}\iexplore]

; End Of The Log...





Bitte also das ne menge anscheinend ;) die hälfte vom erlös werde ich dir über paypal zukommen lassen falls du es gelöst bekommst ohne das ich formatieren muss! Danke
Seitenanfang Seitenende
22.09.2006, 22:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
2.
poste das log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

3.
poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2006, 23:09
Member

Themenstarter

Beiträge: 17
#9 Sabine um Punkt 1 ausführen zu können müsste er mir mal allgemein symbole auf dem desktop anzeigen was aber nicht der fall ist! kann ich die listen.bat auch woanders abspeichern?
Seitenanfang Seitenende
23.09.2006, 00:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 egal, wo du es abspeicherst, hauptsache, du kannst es anklicken und ausfuehren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2006, 14:08
Member

Themenstarter

Beiträge: 17
#11 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Windows\System32\Com

15.02.2006 18:02 <DIR> .
15.02.2006 18:02 <DIR> ..
26.07.2005 06:39 195.072 comadmin.dll
02.04.2003 14:00 61.440 comempty.dat
02.04.2003 14:00 77.348 comexp.msc
04.08.2004 09:57 9.728 comrepl.exe
02.04.2003 14:00 5.120 comrereg.exe
02.04.2003 14:00 19.456 mtsadmin.tlb
6 Datei(en) 368.164 Bytes
2 Verzeichnis(se), 36.758.118.400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files

03.08.2006 19:08 <DIR> CONFLICT.1
29.07.2006 17:19 <DIR> CONFLICT.10
29.07.2006 17:19 <DIR> CONFLICT.11
29.07.2006 17:19 <DIR> CONFLICT.12
29.07.2006 17:19 <DIR> CONFLICT.13
29.07.2006 17:19 <DIR> CONFLICT.14
03.08.2006 19:08 <DIR> CONFLICT.2
03.08.2006 19:08 <DIR> CONFLICT.3
03.08.2006 19:08 <DIR> CONFLICT.4
29.07.2006 17:19 <DIR> CONFLICT.5
29.07.2006 17:19 <DIR> CONFLICT.6
29.07.2006 17:19 <DIR> CONFLICT.7
29.07.2006 17:19 <DIR> CONFLICT.8
29.07.2006 17:19 <DIR> CONFLICT.9
25.01.2006 13:43 367 LegitCheckControl.inf
26.05.2005 04:19 293 muweb.inf
27.08.2005 14:30 5.065 swflash.inf
26.05.2005 05:19 291 wuweb.inf
4 Datei(en) 6.016 Bytes
14 Verzeichnis(se), 36.758.114.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Programme\Common Files

29.07.2006 15:31 <DIR> .
29.07.2006 15:31 <DIR> ..
20.09.2006 19:02 <DIR> Companion Wizard
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 36.758.114.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer

23.09.2006 13:59 <DIR> .
23.09.2006 13:59 <DIR> ..
23.02.2006 20:05 <DIR> Application Data
21.09.2006 13:37 <DIR> Desktop
21.09.2006 13:37 <DIR> Eigene Dateien
20.09.2006 19:47 <DIR> Favoriten
23.09.2006 13:59 830 listen.bat
22.09.2006 19:31 2.572 RegSearch.txt
20.09.2006 20:19 <DIR> Startmen
2 Datei(en) 3.402 Bytes
7 Verzeichnis(se), 36.758.114.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Program Files

15.02.2006 18:30 <DIR> .
15.02.2006 18:30 <DIR> ..
15.02.2006 18:30 <DIR> Common Files
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 36.758.114.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp

22.09.2006 19:14 <DIR> .
22.09.2006 19:14 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.758.114.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Temp

22.09.2006 18:41 <DIR> .
22.09.2006 18:41 <DIR> ..
23.09.2006 13:56 255 WGAErrLog.txt
23.09.2006 13:56 409 WGANotify.settings
2 Datei(en) 664 Bytes
2 Verzeichnis(se), 36.758.114.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Programme

21.09.2006 13:42 <DIR> .
21.09.2006 13:42 <DIR> ..
26.04.2006 11:15 <DIR> actualmedia Schlange 1.1
10.03.2006 20:31 <DIR> Adobe
21.09.2006 13:24 <DIR> Ahead
20.09.2006 19:36 <DIR> Ashampoo
22.09.2006 18:34 <DIR> CleanUp!
15.06.2006 16:59 <DIR> Colourtris
29.07.2006 15:31 <DIR> Common Files
15.02.2006 16:45 <DIR> ComPlus Applications
10.03.2006 20:33 <DIR> DSC_Program
12.07.2006 08:42 <DIR> DT
26.04.2006 10:56 <DIR> eGames
20.09.2006 19:10 <DIR> Enigma Software Group
19.09.2006 19:46 <DIR> EPSON
19.09.2006 18:35 <DIR> fsupport
20.09.2006 20:37 <DIR> Gemeinsame Dateien
20.09.2006 18:44 <DIR> Internet Explorer
19.09.2006 19:27 <DIR> Lavasoft
20.09.2006 18:44 <DIR> Mathris
19.09.2006 18:35 <DIR> Messenger
15.02.2006 16:48 <DIR> microsoft frontpage
17.02.2006 20:12 <DIR> Microsoft Office
15.02.2006 17:54 <DIR> Movie Maker
15.02.2006 16:45 <DIR> MSN Gaming Zone
19.09.2006 18:35 <DIR> NetMeeting
29.07.2006 18:50 <DIR> Norton AntiVirus
15.02.2006 16:47 <DIR> Online-Dienste
19.04.2006 19:56 <DIR> Outlook Express
24.03.2006 20:11 <DIR> Pong
20.09.2006 18:55 <DIR> RegCleaner
26.04.2006 15:59 <DIR> Solitaire
15.02.2006 18:24 <DIR> Symantec
15.02.2006 18:19 <DIR> SymNetDrv
27.03.2006 12:35 <DIR> Tetrixx
21.04.2006 12:39 <DIR> Windows Media Player
15.02.2006 17:52 <DIR> Windows NT
15.02.2006 16:48 <DIR> xerox
0 Datei(en) 0 Bytes
38 Verzeichnis(se), 36.758.110.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten

15.02.2006 18:07 13.104 GDIPFONTCACHEV1.DAT
08.03.2006 19:28 <DIR> Help
18.02.2006 12:21 <DIR> Identities
27.02.2006 20:08 <DIR> Microsoft
27.02.2006 20:08 <DIR> WMTools Downloaded Files
1 Datei(en) 13.104 Bytes
4 Verzeichnis(se), 36.758.110.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten

10.03.2006 20:31 <DIR> Adobe
08.03.2006 19:28 <DIR> Help
15.02.2006 16:51 <DIR> Identities
19.09.2006 19:27 <DIR> Lavasoft
21.02.2006 16:17 <DIR> Macromedia
15.02.2006 18:14 <DIR> Symantec
0 Datei(en) 0 Bytes
6 Verzeichnis(se), 36.758.110.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

15.02.2006 18:15 <DIR> Symantec
29.07.2006 15:36 <DIR> WinAntiVirus Pro 2006
15.02.2006 17:07 <DIR> Windows Genuine Advantage
29.07.2006 15:50 <DIR> WinSoftware
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 36.758.110.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Programme\Gemeinsame Dateien

20.09.2006 20:37 <DIR> .
20.09.2006 20:37 <DIR> ..
10.03.2006 20:34 <DIR> Adobe
17.02.2006 20:12 <DIR> DESIGNER
15.02.2006 16:46 <DIR> Dienste
15.02.2006 18:28 <DIR> EPSON
12.07.2006 08:41 <DIR> InstallShield
10.07.2006 17:03 <DIR> Microsoft Shared
15.02.2006 16:46 <DIR> MSSoap
15.02.2006 16:39 <DIR> ODBC
15.02.2006 16:39 <DIR> SpeechEngines
14.06.2006 15:11 <DIR> SWF Studio
19.09.2006 18:35 <DIR> Symantec Shared
19.04.2006 19:56 <DIR> System
27.04.2006 19:20 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 36.758.106.112 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Windows\tasks

23.09.2006 13:57 402 Symantec NetDetect.job
1 Datei(en) 402 Bytes
0 Verzeichnis(se), 36.758.106.112 Bytes frei


--------------------------------------------------------------------


09/23/06 14:04:43 [Info]: BlackLight Engine 1.0.46 initialized
09/23/06 14:04:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/23/06 14:04:43 [Note]: 7019 4
09/23/06 14:04:43 [Note]: 7005 0
09/23/06 14:04:44 [Note]: 7006 0
09/23/06 14:04:44 [Note]: 7011 668
09/23/06 14:04:44 [Note]: 7026 0
09/23/06 14:04:45 [Note]: 7026 0
09/23/06 14:04:46 [Note]: FSRAW library version 1.7.1019
09/23/06 14:06:10 [Note]: 7007 0



--------------------------------------------------------------------



Besitzer - 06-09-23 14:07:02,48 Service Pack 2
ComboFix 06.09.21 - Running from: "C:\Verseuchungsbehebung"

((((((((((((((((((((((((((((((( Files Created from 2006-08-23 to 2006-09-23 ))))))))))))))))))))))))))))))))))


2006-09-23 14:04 818,736 --a------ C:\blbeta.exe
2006-09-23 14:00 830 --a------ C:\listen.bat
2006-09-21 13:42 339,257 --a------ C:\CleanUp452.exe
2006-09-21 13:24 1,204,224 --------- C:\WINDOWS\UNMRW.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-22 18:34 -------- d-------- C:\Programme\CleanUp!
2006-09-21 13:24 -------- d-------- C:\Programme\Ahead
2006-09-20 20:37 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-09-20 19:36 -------- d-------- C:\Programme\Ashampoo
2006-09-20 19:10 -------- d-------- C:\Programme\Enigma Software Group
2006-09-20 18:55 -------- d-------- C:\Programme\RegCleaner
2006-09-20 18:44 -------- d-------- C:\Programme\Mathris
2006-09-20 18:44 -------- d-------- C:\Programme\Internet Explorer
2006-09-19 19:46 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-19 19:46 -------- d-------- C:\Programme\EPSON
2006-09-19 19:27 -------- d-------- C:\Programme\Lavasoft
2006-09-19 19:27 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Lavasoft
2006-09-19 18:35 -------- d-------- C:\Programme\NetMeeting
2006-09-19 18:35 -------- d-------- C:\Programme\Messenger
2006-09-19 18:35 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-19 18:35 -------- d-------- C:\Programme\fsupport
2006-07-29 18:50 -------- d-------- C:\Programme\Norton AntiVirus
2006-07-29 15:31 -------- d-------- C:\Programme\Common Files


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"oeuai"="C:\\Dokumente und Einstellungen\\Besitzer\\Anwendungsdaten\\tofareraci\\systvmrs.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sinus 154 stick WLAN Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Sinus 154 stick WLAN Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\Sinus 154 stick WLAN Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\DT\\SINUS1~1\\Wifiusb.exe "
"item"="Sinus 154 stick WLAN Manager"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ccApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccApp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CompanionWizard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="compwiz"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Common Files\\Companion Wizard\\compwiz.exe\" /silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\dmxlg.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dmxlg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\dmxlg.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Error Safe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ers"
"hkey"="HKCU"
"command"="C:\\Programme\\Error Safe\\ers.exe /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\License Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="license_manager"
"hkey"="HKCU"
"command"="\"C:\\Programme\\License_Manager\\license_manager.exe \" /silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\seekmo]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="seekmo"
"hkey"="HKLM"
"command"="\"c:\\programme\\seekmo\\seekmo.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyHunter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SpyHunter"
"hkey"="HKLM"
"command"="C:\\Programme\\Enigma Software Group\\SpyHunter\\SpyHunter.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyQuake2.com]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Spy-Quake2"
"hkey"="HKLM"
"command"="C:\\Programme\\SpyQuake2.com\\Spy-Quake2.exe /h"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UnSpyPC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UnSpyPC"
"hkey"="HKCU"
"command"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\""
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 23.09.2006 14:07:20.03
ComboFix.txt
Seitenanfang Seitenende
23.09.2006, 14:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 erstelle eine neu.bat und poste den text

Zitat

cd\
dir "C:\Programme\Error Safe" >>files.txt
dir "C:\Program Files\Common Files\Companion Wizard" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.1" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.10" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.11" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.12" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.13" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.14" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.2" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.3" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.4" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.5" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.6" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.7" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.8" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files\CONFLICT.9" >>files.txt
dir "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\tofareraci" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinSoftware" >>files.txt
dir "C:\Programme\Internet Explorer" >>files.txt
notepad files.txt
««
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Error Safe
WinAntiVirus Pro 2006
WinSoftware
UnSpyPC
SpyQuake2.com


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2006, 15:00
Member

Themenstarter

Beiträge: 17
#13 Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1

03.08.2006 19:08 <DIR> .
03.08.2006 19:08 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.10

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.11

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.12

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.13

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.14

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.2

03.08.2006 19:08 <DIR> .
03.08.2006 19:08 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.3

03.08.2006 19:08 <DIR> .
03.08.2006 19:08 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.4

03.08.2006 19:08 <DIR> .
03.08.2006 19:08 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.135.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.5

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.131.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.6

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.131.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.7

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.131.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.8

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.131.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.9

29.07.2006 17:19 <DIR> .
29.07.2006 17:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 36.757.131.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006

29.07.2006 15:36 <DIR> .
29.07.2006 15:36 <DIR> ..
13.09.2006 12:40 2.536 AVScheduler.dat
1 Datei(en) 2.536 Bytes
2 Verzeichnis(se), 36.757.131.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinSoftware

29.07.2006 15:50 <DIR> .
29.07.2006 15:50 <DIR> ..
29.07.2006 15:50 <DIR> WinAntiVirus Pro 2006
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 36.757.131.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E028-3741

Verzeichnis von C:\Programme\Internet Explorer

20.09.2006 18:44 <DIR> .
20.09.2006 18:44 <DIR> ..
15.02.2006 17:52 <DIR> Connection Wizard
04.08.2004 09:57 38.912 hmmapi.dll
09.05.2006 13:00 18.432 iedw.exe
04.08.2004 09:57 93.184 iexplore.exe
15.02.2006 17:54 <DIR> mui
10.03.2006 20:31 <DIR> PLUGINS
15.02.2006 16:46 <DIR> SIGNUP
20.04.2006 16:15 15.317 winbrume.dat
4 Datei(en) 165.845 Bytes
6 Verzeichnis(se), 36.757.131.264 Bytes frei







REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 23.09.2006 15:08:26 for strings:
; 'error safe'
; 'winantivirus pro 2006'
; 'winsoftware'
; 'unspypc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0903FECD-7F7A-4790-A819-A3CE08416732}\LocalServer32]
@="C:\\Programme\\WinAntiVirus Pro 2006\\AVAutoPlay.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85C99188-BEFD-4c61-A54B-5D7CB0204C1E}\InprocServer32]
@="C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\WAPPChk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E}\1.0\0\win32]
@="C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\WAPPChk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E}\1.0\HELPDIR]
@="C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Error Safe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Error Safe]
"command"="C:\\Programme\\Error Safe\\ers.exe /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnSpyPC]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnSpyPC]
"item"="UnSpyPC"
"command"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\WAVAutoPlay]
"Provider"="WinAntiVirus Pro 2006"
"DefaultIcon"="C:\\Programme\\WinAntiVirus Pro 2006\\WinAV.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\\Programme\\Error Safe Free\\ESSPChck.dll"=dword:00000001

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Error Safe]

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Error Safe\Settings]

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Error Safe\Settings]
"SaveRepairedFilesToPath"="C:\\Programme\\Error Safe\\Repariert"
"OverwriteAndBackupFilesToPath"="C:\\Programme\\Error Safe\\Backup"

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5604]
"002"="error safe.Ink"

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Error Safe]

[HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\WinAntiVirus Pro 2006]

; End Of The Log...




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 23.09.2006 15:09:28 for strings:
; 'spyquake2.com'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyQuake2.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyQuake2.com]
"command"="C:\\Programme\\SpyQuake2.com\\Spy-Quake2.exe /h"

; End Of The Log...
Dieser Beitrag wurde am 23.09.2006 um 15:08 Uhr von Rene09 editiert.
Seitenanfang Seitenende
23.09.2006, 15:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A2595F37-48D0-46A1-9B51-478591A97764}]

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A2595F37-48D0-46A1-9B51-478591A97764}\iexplore]

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Internet Security]

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\X Password Manager]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\\Programme\\Error Safe Free\\ESSPChck.dll"=-

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Error Safe]

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Error Safe]

[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\WinAntiVirus Pro 2006]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"oeuai"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"=-
"cholecyst"=-

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UnSpyPC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyQuake2.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Error Safe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\dmxlg.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\X Password Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0903FECD-7F7A-4790-A819-A3CE08416732}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85C99188-BEFD-4c61-A54B-5D7CB0204C1E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\WAVAutoPlay

Files to delete:
C:\Programme\Internet Explorer\winbrume.dat
C:\WINDOWS\system32\dmxlg.exe
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\drivers\vspf5.sys
C:\WINDOWS\system32\drivers\vspf_hk5.sys
C:\WINDOWS\system32\drivers\fopn.sys
C:\WINDOWS\system32\av.cpl

Folders to delete:
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinSoftware
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger, was nach neustart erscheint

**
3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\X Password Manager\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [oeuai] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\tofareraci\systvmrs.exe

O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.hastalavista.it
O15 - Trusted Zone: *.p0rt2.com
O15 - Trusted Zone: www.pornoaccesso.com
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.superspots.biz
O15 - Trusted Zone: www.xxx-content.name

O17 - HKLM\System\CCS\Services\Tcpip\..\{0B3DB777-DF89-4B39-A7FF-17E9AF82FA7D}: NameServer = 85.255.116.93,85.255.112.78
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B3DB777-DF89-4B39-A7FF-17E9AF82FA7D}: NameServer = 85.255.116.93,85.255.112.78

O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll

PC neustarten

4.
Internetverbindung manuell mit den Zugangsdaten des Providers hergestellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

85.255.116.93,85.255.112.78 muss raus !!!

1. Click Start > Control Panel
2. Double-click Network Connections.

-------------------------------------------------------------------

5.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

6.
poste das neue Log vom HijackThis


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2006, 15:42
Member

Themenstarter

Beiträge: 17
#15 nicht weglaufen ich editiere gleich ;)

bisher sieht alles schön aus!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: