Virusburst Critical System Error!

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.09.2006, 20:58
...neu hier

Beiträge: 10
#1 ich war leider unvorsichtig und hab mir so einen VirusBurst eingefangen und jetzt erscheint in der Taskleiste immer die Meldung "Critical System Error" auf,
wie werde ich das wieder los??



Logfile of HijackThis v1.99.1
Scan saved at 20:45:37, on 09/22/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinMediaCodec\isamonitor.exe
C:\Programme\WinMediaCodec\pmsngr.exe

C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\WinMediaCodec\pmmon.exe
C:\Programme\WinMediaCodec\isamini.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Roger\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\WinMediaCodec\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Programme\Registry Cleaner Trial\regclean.exe" -startminimize
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {11010101-1001-1111-1000-117241726275} -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: eeler - {1559e6c1-7e5e-4461-9457-6a2dea85eb9f} - C:\WINDOWS\system32\titiau.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
Dieser Beitrag wurde am 22.09.2006 um 21:09 Uhr von roger.pf editiert.
Seitenanfang Seitenende
22.09.2006, 23:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 roger.pf

«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html


««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\WinMediaCodec" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt
«
poste das log
http://virus-protect.org/artikel/tools/combofix.html

«
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html


Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{202a961f-23ae-42b1-9505-ffe3c818d717}
{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}
WinMediaCodec


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2006, 01:14
...neu hier

Themenstarter

Beiträge: 10
#3 OK, ich habs so gemacht wie du gesagt hast, hoffe das ich alles richtig gemacht habe und du was anfangen kannst damit.




Roger - 06-09-22 23:29:56,98 Service Pack 2
ComboFix 06.09.23 - Running from: "C:\Dokumente und Einstellungen\Roger\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((((((((( Files Created from 2006-08-22 to 2006-09-22 ))))))))))))))))))))))))))))))))))


2006-09-22 20:04 176,128 --a------ C:\WINDOWS\system32\titiau.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-22 21:03 -------- d-------- C:\Programme\CleanUp!
2006-09-16 22:10 278404 --a------ C:\WINDOWS\YOUNG2.scr
2006-09-16 22:10 2387741 --a------ C:\WINDOWS\YOUNG2.exe
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-01 17:28 -------- d-------- C:\Programme\PC VGA Camera
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Registry Cleaner"="\"C:\\Programme\\Registry Cleaner Trial\\regclean.exe\" -startminimize"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\\Programme\\Apoint\\Apoint.exe"
"AtiPTA"="Atiptaxx.exe"
"EM_EXEC"="C:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\
6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00
"gcasServ"="\"C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe\""
"RegSvr32"="C:\\WINDOWS\\system32\\msmsgs.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,ea,00,00,00,00,00,00,00,16,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"winlogon.exe"="msole32.exe"
"homepage.monitor.exe"="C:\\Programme\\WinMediaCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\WinMediaCodec\\pmsngr.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"eeler"="{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 09/22/2006 23:31:32.13
ComboFix.txt





Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0D21-13EA

Verzeichnis von C:\WINDOWS\system32

09/23/2006 02:06 1.158 wpa.dbl
09/23/2006 01:57 900 ikhcore.log
09/22/2006 20:04 176.128 titiau.dll
09/19/2006 15:26 290.088 FNTCACHE.DAT
09/15/2006 23:34 6.948 jupdate-1.5.0_06-b05.log
09/11/2006 19:37 8.960.936 MRT.exe
08/21/2006 14:26 16.896 fltlib.dll
08/21/2006 11:14 23.040 fltmc.exe
08/20/2006 20:29 8.833 jupdate-1.5.0_08-b03.log
07/28/2006 13:28 3.075.072 mshtml.dll
07/27/2006 15:25 679.424 inetcomm.dll
07/25/2006 22:33 615.936 urlmon.dll
07/21/2006 10:29 72.704 hlink.dll
07/14/2006 17:38 332.288 netapi32.dll
07/14/2006 17:25 546.304 hhctrl.ocx
07/14/2006 05:46 61.492 perfc007.dat
07/14/2006 05:46 50.866 perfc009.dat
07/14/2006 05:46 374.398 perfh009.dat
07/14/2006 05:46 384.790 perfh007.dat
07/14/2006 05:46 879.502 PerfStringBackup.INI
07/13/2006 15:34 8.494.592 shell32.dll
07/05/2006 12:55 1.057.792 kernel32.dll
06/26/2006 19:40 148.480 dnsapi.dll
06/26/2006 19:40 8.192 rasadhlp.dll
06/23/2006 13:10 474.624 shlwapi.dll


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0D21-13EA

Verzeichnis von C:\DOKUME~1\Roger\LOKALE~1\Temp

09/23/2006 02:31 206 jusched.log
09/23/2006 01:46 66 ram23.ram
09/23/2006 01:46 66 ram22.ram
09/23/2006 01:45 11.173.889 PNX21.tmp
09/23/2006 01:42 66 ram20.ram
09/23/2006 01:16 416 java_install_reg.log
09/20/2006 06:05 131 99B6B886.TMP
09/16/2006 11:25 127 DFC5A2B2.TMP
8 Datei(en) 11.174.967 Bytes
0 Verzeichnis(se), 311.951.360 Bytes frei


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0D21-13EA

Verzeichnis von C:\WINDOWS

09/23/2006 02:04 0 0.log
09/23/2006 02:03 159 wiadebug.log
09/23/2006 02:02 2.048 bootstat.dat
09/23/2006 01:53 1.049.993 WindowsUpdate.log
09/22/2006 22:59 93.961 wmsetup.log
09/22/2006 22:58 30.105 setupact.log
09/22/2006 20:22 32.622 SchedLgU.Txt
09/22/2006 20:22 50 wiaservc.log
09/19/2006 15:18 6.769 Active Setup Log.txt
09/19/2006 15:10 7.344 setupapi.log
09/16/2006 22:10 2.387.741 YOUNG2.exe
09/16/2006 22:10 278.404 YOUNG2.scr
09/16/2006 21:23 54.156 QTFont.qfn
09/16/2006 21:23 1.409 QTFont.for
09/16/2006 20:50 338 GEARInstall.log
09/15/2006 22:57 1.180 win.ini
09/14/2006 01:01 526.148 ocgen.log
09/14/2006 01:01 213.152 ntdtcsetup.log
09/14/2006 01:01 343.326 comsetup.log
09/14/2006 01:01 405.578 tsoc.log
09/14/2006 01:01 153.548 iis6.log
09/14/2006 01:01 48.224 ocmsn.log
09/14/2006 01:01 11.398 KB920685.log
09/14/2006 01:01 993.979 FaxSetup.log
09/14/2006 01:01 1.374 imsins.log
09/14/2006 01:01 51.068 msgsocm.log
09/14/2006 01:00 13.189 KB920872.log
09/14/2006 01:00 1.374 imsins.BAK
09/14/2006 01:00 11.514 KB919007.log
09/14/2006 01:00 7.767 KB922582.log
09/14/2006 00:59 45.865 updspapi.log
09/14/2006 00:19 0 setuperr.log
08/13/2006 12:56 19.204 KB920214.log
08/13/2006 12:56 19.462 KB922616.log
08/13/2006 12:54 20.035 KB921398.log
08/13/2006 12:50 22.358 KB918899.log
08/13/2006 12:48 11.961 KB920670.log
08/13/2006 12:48 12.180 KB917422.log
08/13/2006 12:47 12.406 KB920683.log
08/12/2006 14:05 11.173 KB921883.log
07/14/2006 03:11 11.860 KB917159.log
07/14/2006 03:11 12.406 KB914388.log
07/14/2006 03:10 10.409 KB916595.log
07/04/2006 13:03 33.961 spupdsvc.log
07/04/2006 12:58 16.918 WgaNotify.log
06/17/2006 05:56 15.343 KB917734.log
06/17/2006 05:53 18.505 KB918439.log
06/17/2006 05:51 19.162 KB917344.log
06/17/2006 05:51 18.133 KB917953.log
06/17/2006 05:50 18.165 KB911280.log
06/17/2006 05:49 20.947 KB916281.log
06/17/2006 05:45 11.621 KB914389.log
06/01/2006 15:50 6.945 WGA.log
05/10/2006 23:24 11.782 KB913580.log


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0D21-13EA

Verzeichnis von C:\

09/23/2006 02:40 0 sys.txt
09/23/2006 02:39 15.128 system.txt
09/23/2006 02:39 629 systemtemp.txt
09/23/2006 02:38 111.811 system32.txt
09/23/2006 02:02 133.746.688 hiberfil.sys
09/23/2006 02:02 201.326.592 pagefile.sys
09/22/2006 23:31 5.678 ComboFix.txt
09/22/2006 23:28 23.264 files.txt
08/03/2006 23:55 921.632 PA7311.DAT
08/27/2005 16:26 0 23990098.$$$
08/27/2005 16:26 6 AVPCallback.log
03/09/2005 16:17 211 boot.ini
01/23/2005 23:08 95 DownloadLog.t



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 09/23/2006 02:43:53 for strings:
; '{202a961f-23ae-42b1-9505-ffe3c818d717}'
; '{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}'
; 'winmediacodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}\InprocServer32]
@="C:\\Programme\\WinMediaCodec\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{202a961f-23ae-42b1-9505-ffe3c818d717}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"homepage.monitor.exe"="C:\\Programme\\WinMediaCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\WinMediaCodec\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eeler"="{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}"

[HKEY_USERS\S-1-5-21-2419647484-357967339-2079644369-1005\Software\Internet Security]
"Path"="C:\\Programme\\WinMediaCodec"

[HKEY_USERS\S-1-5-21-2419647484-357967339-2079644369-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{202A961F-23AE-42B1-9505-FFE3C818D717}]

[HKEY_USERS\S-1-5-21-2419647484-357967339-2079644369-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{202A961F-23AE-42B1-9505-FFE3C818D717}\iexplore]

[HKEY_USERS\S-1-5-21-2419647484-357967339-2079644369-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\WinMediaCodec\\isamonitor.exe"="isamonitor"
"C:\\Programme\\WinMediaCodec\\pmsngr.exe"="pmsngr"

; End Of The Log...
Dieser Beitrag wurde am 23.09.2006 um 02:49 Uhr von roger.pf editiert.
Seitenanfang Seitenende
23.09.2006, 11:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 roger.pf

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen





Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Registry Cleaner"=-
[-HKEY_CLASSES_ROOT\clsid\{205ff73b-ca67-11d5-99dd-444553540013}]
[-HKEY_CLASSES_ROOT\clsid\{5fce5f25-b51e-2e50-ed07-ad26b874e903}]
[-HKEY_CLASSES_ROOT\typelib\{205ff72e-ca67-11d5-99dd-444553540013}]
[-HKEY_CURRENT_USER\software\registry cleaner]
[-HKEY_LOCAL_MACHINE\software\registry cleaner]
[-HKEY_LOCAL_MACHINE\software\registry cleaner\uninstall]
[-HKEY_CURRENT_USER\software\softwareonline.com\soref\{334cca36-c1f1-4649-8dae-a46e24911e1b}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\registry cleaner]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegSvr32"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"winlogon.exe"=-
"homepage.monitor.exe"=-
"pmsngr.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eeler"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}"=-

[-HKEY_USERS\S-1-5-21-2419647484-357967339-2079644369-1005\Software\Internet Security]

[-HKEY_USERS\S-1-5-21-2419647484-357967339-2079644369-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{202A961F-23AE-42B1-9505-FFE3C818D717}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{202a961f-23ae-42b1-9505-ffe3c818d717}]
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\titiau.dll

Folders to delete:
C:\Programme\WinMediaCodec
C:\Programme\Registry Cleaner Trial
C:\Programme\Common Files\Registry Cleaner
C:\Dokumente und Einstellungen\Roger\Anwendungsdaten\Registry Cleaner
C:\Programme\Gemeinsame Dateien\Registry Cleaner
C:\Programme\VirusBurst
C:\Programme\Virus-Burst
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den scanreport der nach neustart erscheint

++++++++++++++++++++++++

3.
mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 1) - lasse auch die Registry mitreinigen

poste den scanreport

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\WinMediaCodec\isaddon.dll

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe

O4 - HKCU\..\Run: [Registry Cleaner] "C:\Programme\Registry Cleaner Trial\regclean.exe" -startminimize

O16 - DPF: {11010101-1001-1111-1000-117241726275} -

O21 - SSODL: eeler - {1559e6c1-7e5e-4461-9457-6a2dea85eb9f} - C:\WINDOWS\system32\titiau.dll

PC neustarten

5.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

6.
poste das neue Log vom HijackThis

7.
poste das neue log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2006, 13:29
...neu hier

Themenstarter

Beiträge: 10
#5 4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

da hab ich leider vor allen ein Häkchen gesetzt. War das jetzt falsch?




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ecyfbnvd

*******************

Script file located at: \??\C:\WINDOWS\abtidjou.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\titiau.dll deleted successfully.
Folder C:\Programme\WinMediaCodec deleted successfully.
Folder C:\Programme\Registry Cleaner Trial deleted successfully.


Folder C:\Programme\Common Files\Registry Cleaner not found!
Deletion of folder C:\Programme\Common Files\Registry Cleaner failed!

Could not process line:
C:\Programme\Common Files\Registry Cleaner
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\Roger\Anwendungsdaten\Registry Cleaner deleted successfully.


Folder C:\Programme\Gemeinsame Dateien\Registry Cleaner not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\Registry Cleaner failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Registry Cleaner
Status: 0xc0000034



Folder C:\Programme\VirusBurst not found!
Deletion of folder C:\Programme\VirusBurst failed!

Could not process line:
C:\Programme\VirusBurst
Status: 0xc0000034



Folder C:\Programme\Virus-Burst not found!
Deletion of folder C:\Programme\Virus-Burst failed!

Could not process line:
C:\Programme\Virus-Burst
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.




SmitFraudFix v2.98

Scan done at 14:01:54,11, 09/23/2006
Run from C:\Dokumente und Einstellungen\Roger\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\sites.ini Deleted
C:\WINDOWS\system32\network.ico Deleted
C:\WINDOWS\system32\pharm.ico Deleted
C:\WINDOWS\system32\spam.ico Deleted
C:\WINDOWS\system32\spyware.ico Deleted
C:\DOKUME~1\ALLUSE~1\DESKTOP\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\DESKTOP\Security Troubleshooting.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\vb\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

HKLM\SOFTWARE\SHUDDERLTD Deleted

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of HijackThis v1.99.1
Scan saved at 16:35:38, on 09/23/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Roger\Eigene Dateien\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe





Roger - 06-09-23 16:37:08,08 Service Pack 2
ComboFix 06.09.23 - Running from: "C:\Dokumente und Einstellungen\Roger\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-08-23 to 2006-09-23 ))))))))))))))))))))))))))))))))))


2006-09-23 13:57 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-09-23 13:57 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-09-23 13:57 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-09-23 13:57 135,168 --a------ C:\WINDOWS\system32\swreg.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-16 22:10 278404 --a------ C:\WINDOWS\YOUNG2.scr
2006-09-16 22:10 2387741 --a------ C:\WINDOWS\YOUNG2.exe
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 09/23/2006 16:38:21.29
ComboFix2.txt
ComboFix.txt
Dieser Beitrag wurde am 23.09.2006 um 16:38 Uhr von roger.pf editiert.
Seitenanfang Seitenende
23.09.2006, 16:41
...neu hier

Themenstarter

Beiträge: 10
#6

Zitat

Sabina postete
ja nun, vor ALLE ????????? - oder nur vor alle, die ich angegeben hatte ?
poste das neue Log vom HijackThis
ja leider mehr als nur die, die du angegeben hast.
Im moment scheint es so als würde alles wieder Normal funktionieren. Ich hoffe nur das ich mit dem HijackThis nichts gelöscht habe was ich noch brauche.


Logfile of HijackThis v1.99.1
Scan saved at 16:40:38, on 09/23/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Roger\Eigene Dateien\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
Dieser Beitrag wurde am 23.09.2006 um 17:22 Uhr von roger.pf editiert.
Seitenanfang Seitenende
23.09.2006, 17:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 dein Autostart ist ja sehr mager geworden ;) - funktioniert noch alles ????????
Sowas habe ich noch nicht gesehen, da fixt du doch wirklich deinen ganzen Rechner ;)

lade Antivirus, scanne und poste den scanreport
http://virus-protect.org/antivirus.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2006, 18:37
...neu hier

Themenstarter

Beiträge: 10
#8 ja im moment funktioniert wieder alles so wie immer. Sollte es etwa nicht??? Ich weiss das ich was falsch gemacht habe, nur leider weiss ich nicht was das für auswirkungen haben kann. Oder ob ich den Fehler rückgängig machen kann.
Da ich zum ersten Mal eine so komplizierte Prozedur mache, war mir nicht immer klar was ich genau tun sollte. Mir fehlt halt dein Sachverständniss, darum bitte ich um ein wenig nachsicht mit mir...

Hier noch der scanreport von Antivirus,


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 23. September 2006 17:33

Es wird nach 495093 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Roger
Computername: NAME-SGC3H6XCX5

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 08/21/2006 10:06:54
AVSCAN.DLL : 7.0.0.45 41000 07/25/2006 11:09:34
LUKE.DLL : 7.0.0.47 118824 09/07/2006 10:32:32
LUKERES.DLL : 7.0.0.47 9256 09/07/2006 10:32:32
ANTIVIR0.VDF : 6.35.0.1 7371264 05/31/2006 10:35:20
ANTIVIR1.VDF : 6.36.0.9 1424384 09/06/2006 07:12:24
ANTIVIR2.VDF : 6.36.0.10 2048 09/06/2006 07:12:26
ANTIVIR3.VDF : 6.36.0.11 2048 09/06/2006 07:12:28
AVEWIN32.DLL : 7.2.0.14 1827328 09/04/2006 14:23:26
AVPREF.DLL : 7.0.0.2 23080 07/24/2006 12:35:50
AVREP.DLL : 6.36.0.3 794664 09/06/2006 08:04:08
AVRPBASE.DLL : 7.0.0.0 2162728 03/30/2006 08:43:10
AVPACK32.DLL : 7.2.0.0 368680 07/21/2006 06:00:30
AVREG.DLL : 6.31.0.90 27688 07/28/2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 09/27/2005 07:56:48
NETNW.DLL : 7.0.0.0 9768 07/24/2006 12:35:44
RCIMAGE.DLL : 7.0.0.74 1642536 08/01/2006 11:22:54
RCTEXT.DLL : 7.0.0.107 77864 08/31/2006 14:39:58

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Samstag, 23. September 2006 17:33


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 6 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 4 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SoftwareDistribution\EventCache\{87FD3DAD-6383-4796-9910-00D25CC62E49}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Roger\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Roger\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Roger\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Roger\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Roger\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-7372238-55d33048.zip
[FUND] Enthält Signatur des Java-Virus JAVA/Byteverify.G.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '458b5f05.qua' verschoben!
C:\Dokumente und Einstellungen\Roger\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-5cd730cf-6e7b7217.zip
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '458a5f18.qua' verschoben!
C:\Dokumente und Einstellungen\Roger\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ie0601a.jar-4ceeb842-426e1a05.zip
[FUND] Enthält Signatur des Exploits EXP/Java.Bytverif.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45455f10.qua' verschoben!


Ende des Suchlaufs: Samstag, 23. September 2006 18:33
Benötigte Zeit: 1:00:28 min

Der Suchlauf wurde vollständig durchgeführt.

4324 Verzeichnisse wurden überprüft
221760 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6713 Archive wurden durchsucht
27 Warnungen
0 Hinweise
Seitenanfang Seitenende
23.09.2006, 19:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 schau, wenn ich schreibe: fixe diese Eintraege, dann kannst du nicht einfach auf alle klicken.
wenn user nicht aufmerksam lesen, dann ist es schwer, eine erfolgreiche Fernreinigung zu machen.
dein Rechner ist wieder sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 21:18
...neu hier

Beiträge: 2
#10 hi, wie mache ich das weg ?
critical system error! - virusburst?
Seitenanfang Seitenende
09.10.2006, 09:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Alexey-pc

1.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 17:58
...neu hier

Beiträge: 2
#12 Danke Sabina, Antivir hat es schon erledigt...hofe es bleibt dabei.
Meinst du its es in Ordnung so , oder soll ich deinen Anwiesungen folgen ?
Seitenanfang Seitenende
09.10.2006, 18:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Alexey-pc

besser, ich schaue noch mal nach ;)
poste die logs
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2006, 22:13
...neu hier

Beiträge: 2
#14 Hi, habe selbiges Problem mit VirusBurst (Critical System Error in Taskleiste).
Habe mich schon ein bischen schlau gelesen, also hier meine Logs, danke schon mal für die Hilfe!

MfG

1. Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 22:05:18, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\MMediaCodec\isamonitor.exe
C:\Programme\MMediaCodec\pmsngr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\MMediaCodec\pmmon.exe
C:\Programme\MMediaCodec\isamini.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Acer Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\DOKUME~1\Jonathan\LOKALE~1\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVerTV Hybrid + FM Cardbus\AVerQT.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Jonathan\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {d869742a-e5d2-4624-96c7-aae26170665e} - C:\Programme\MMediaCodec\isaddon.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Protection Bar - {44d22a64-2399-4edf-8b32-f2c729c1e8a7} - C:\Programme\MMediaCodec\iesplugin.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: QuickTV6.lnk = C:\Programme\AVerTV Hybrid + FM Cardbus\AVerQT.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B041D687-1E7D-49E2-8EA4-B1BC558C4548}: NameServer = 213.191.92.86,213.191.74.18
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4} - C:\WINDOWS\system32\dpfwu.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


2. Combofix:

Jonathan - 06-10-15 22:06:30,04 Service Pack 2
ComboFix 06.10.16 - Running from: "C:\Dokumente und Einstellungen\Jonathan"

((((((((((((((((((((((((((((((( Files Created from 2006-09-15 to 2006-10-15 ))))))))))))))))))))))))))))))))))


2006-10-15 21:30 223,616 --a------ C:\WINDOWS\system32\drivers\tcpip6.sys
2006-10-15 21:29 1,836,032 --a------ C:\WINDOWS\system32\win32k.sys
2006-10-15 21:27 34,304 --a------ C:\WINDOWS\system32\olecnv32.dll
2006-10-15 21:26 124,800 --a------ C:\WINDOWS\system32\drivers\fltMgr.sys
2006-10-15 17:26 48,816 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-10-15 17:26 109,744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-10-15 17:26 10,344 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys
2006-10-15 17:10 106,496 --a------ C:\WINDOWS\system32\dpfwu.dll
2006-10-15 17:02 34,308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-10-12 20:36 26,496 --a------ C:\WINDOWS\system32\drivers\USBSTOR.SYS
2006-10-12 20:11 7,296 --a------ C:\WINDOWS\system32\drivers\osaio.sys
2006-10-12 20:11 4,392 --a------ C:\WINDOWS\system32\drivers\NdisFilt.sys
2006-10-12 20:11 4,010 --a------ C:\WINDOWS\system32\drivers\osanbm.sys
2006-10-12 20:11 12,106 --a------ C:\WINDOWS\system32\drivers\OsaFsLoc.sys
2006-10-12 20:09 81,920 --a------ C:\WINDOWS\system32\packet.dll
2006-10-12 20:09 78,208 --a------ C:\WINDOWS\system32\drivers\epm-shd.sys
2006-10-12 20:09 61,440 --a------ C:\WINDOWS\system32\WanPacket.dll
2006-10-12 20:09 53,299 --a------ C:\WINDOWS\system32\pthreadVC.dll
2006-10-12 20:09 4,096 --a------ C:\WINDOWS\system32\drivers\epm-psd.sys
2006-10-12 20:09 32,512 --a------ C:\WINDOWS\system32\drivers\npf.sys
2006-10-12 20:09 258,048 --a------ C:\WINDOWS\system32\Uninstall_eRecovery.exe
2006-10-12 20:09 233,472 --a------ C:\WINDOWS\system32\wpcap.dll
2006-10-12 20:09 21,275 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2006-10-12 20:08 61,440 --a------ C:\WINDOWS\system32\acerGina.dll
2006-10-12 20:08 5,120 --a------ C:\WINDOWS\system32\FILTRCOI.DLL
2006-10-12 20:08 16,896 --a------ C:\WINDOWS\system32\drivers\DKbFltr.SYS
2006-10-12 20:07 225,350 --a------ C:\WINDOWS\system32\Epm-Po.dll
2006-10-12 20:06 984,064 --a------ C:\WINDOWS\system32\ShowErrUI.dll
2006-10-12 20:06 94,208 --a------ C:\WINDOWS\system32\ToolBand.dll
2006-10-12 20:06 822,784 --a------ C:\WINDOWS\system32\UIVCL.dll
2006-10-12 20:06 81,920 C:\WINDOWS\system32Outlook Addin.dll
2006-10-12 20:06 81,920 --a------ C:\WINDOWS\system32\MSNSpook.dll
2006-10-12 20:06 61,440 --a------ C:\WINDOWS\system32\ShowErrMsg.dll
2006-10-12 20:06 57,344 --a------ C:\WINDOWS\system32\LogSPWusage.dll
2006-10-12 20:06 53,248 --a------ C:\WINDOWS\system32\sysenv.dll
2006-10-12 20:06 53,248 --a------ C:\WINDOWS\system32\APISlice.dll
2006-10-12 20:06 45,056 --a------ C:\WINDOWS\system32\SC_res.dll
2006-10-12 20:06 45,056 --a------ C:\WINDOWS\system32\EN_res.dll
2006-10-12 20:06 389,120 --a------ C:\WINDOWS\system32\CryptoAPI.dll
2006-10-12 20:06 352,256 --a------ C:\WINDOWS\system32\UI.dll
2006-10-12 20:06 32,768 --a------ C:\WINDOWS\system32\TC_res.dll
2006-10-12 20:06 27,136 --a------ C:\WINDOWS\system32\eDSshellExt.dll
2006-10-12 20:06 233,472 --a------ C:\WINDOWS\system32\keyManager.dll
2006-10-12 20:06 19,968 --a------ C:\WINDOWS\system32\ActiveToolBand.dll
2006-10-12 20:06 10,752 --a------ C:\WINDOWS\system32\MSNChatHook.dll
2006-10-12 20:04 180,224 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-10-12 20:00 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2006-10-12 20:00 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2006-10-12 19:59 180,224 --a------ C:\WINDOWS\system32\nvudisp.exe
2006-10-12 17:10 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2006-10-12 17:10 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2006-10-12 17:10 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2006-10-12 17:10 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2006-10-12 17:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2006-10-12 17:10 15,360 --a------ C:\WINDOWS\system32\drivers\MPE.sys
2006-10-12 17:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2006-10-12 17:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2006-10-12 17:09 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2006-10-12 17:09 363,520 --a------ C:\WINDOWS\system32\PsisDecd.dll
2006-10-12 17:09 11,776 --a------ C:\WINDOWS\system32\drivers\BdaSup.sys
2006-10-12 17:08 509,312 --a------ C:\WINDOWS\system32\drivers\AVerE506.sys
2006-10-12 17:08 49,152 --------- C:\WINDOWS\system32\CardID.dll
2006-10-12 17:08 3,072 --a------ C:\WINDOWS\system32\34CoInstaller.dll
2006-10-12 16:56 59,648 --a------ C:\WINDOWS\system32\drivers\rfcomm.sys
2006-10-12 16:56 275,200 --a------ C:\WINDOWS\system32\drivers\bthport.sys
2006-10-12 16:56 18,944 --a------ C:\WINDOWS\system32\drivers\BTHUSB.SYS
2006-10-12 16:56 17,024 --a------ C:\WINDOWS\system32\drivers\BthEnum.sys
2006-10-12 16:56 100,992 --a------ C:\WINDOWS\system32\drivers\bthpan.sys
2006-10-12 16:53 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2006-10-12 16:53 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2006-10-12 16:52 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2006-10-12 16:52 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2006-10-12 16:52 38,912 --------- C:\WINDOWS\system32\picn20.dll
2006-10-12 16:52 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2006-10-12 16:52 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2006-10-12 16:52 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2006-10-12 16:52 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2006-10-12 16:52 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-15 20:58 -------- d--h----- C:\Programme\WindowsUpdate
2006-10-15 20:57 125 ---hs---- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\.zreglib
2006-10-15 17:29 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Symantec
2006-10-15 17:26 -------- d-------- C:\Programme\Symantec
2006-10-15 17:26 -------- d-------- C:\Programme\Norton AntiVirus
2006-10-15 17:25 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-15 17:10 -------- d-------- C:\Programme\MMediaCodec
2006-10-15 16:47 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\SlySoft
2006-10-15 16:44 -------- d-------- C:\Programme\SlySoft
2006-10-15 16:44 -------- d-------- C:\Programme\Elaborate Bytes
2006-10-14 18:18 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-10-13 18:35 -------- d-------- C:\Programme\AnswerWorks 4.0
2006-10-13 18:33 -------- d-------- C:\Programme\Autodesk Architectural Desktop 2006
2006-10-13 18:33 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Autodesk
2006-10-13 18:31 -------- d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2006-10-13 18:31 -------- d-------- C:\Programme\Autodesk
2006-10-12 20:36 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Adobe
2006-10-12 20:32 -------- d-------- C:\Programme\QuickTime
2006-10-12 20:32 -------- d-------- C:\Programme\iTunes
2006-10-12 20:32 -------- d-------- C:\Programme\iPod
2006-10-12 20:32 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Apple Computer
2006-10-12 20:31 -------- d-------- C:\Programme\Apple Software Update
2006-10-12 20:28 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-12 20:28 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Mozilla
2006-10-12 20:15 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\CyberLink
2006-10-12 20:14 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Macromedia
2006-10-12 20:11 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Acer
2006-10-12 19:13 -------- d-------- C:\Programme\Shareaza
2006-10-12 19:05 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\AdobeUM
2006-10-12 18:58 -------- d-------- C:\Programme\Microsoft Office
2006-10-12 18:58 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-10-12 17:08 -------- d-------- C:\Programme\AVerTV Hybrid + FM Cardbus
2006-10-12 17:08 -------- d-------- C:\Programme\AVerMedia
2006-10-12 16:57 -------- d-------- C:\Programme\eMule.de 0.46c v17
2006-10-12 16:52 -------- d-------- C:\Programme\Ahead
2006-10-12 13:18 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Talkback
2006-10-12 13:17 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-10-12 13:17 -------- d-------- C:\Dokumente und Einstellungen\Jonathan\Anwendungsdaten\Thunderbird
2006-10-12 13:12 -------- d-------- C:\Programme\WinRAR
2006-08-25 17:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-18 03:58 20096 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2006-08-07 16:02 534208 --a------ C:\WINDOWS\system32\SymNeti.dll
2006-08-07 16:02 161472 --a------ C:\WINDOWS\system32\SymRedir.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"AnyDVD"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"AzMixerSel"="C:\\Programme\\Realtek\\InstallShield\\AzMixerSel.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"PCMService"="\"C:\\Programme\\Acer\\Acer Arcade\\PCMService.exe\""
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"eDataSecurity Loader"="C:\\Acer\\Empowering Technology\\eDataSecurity\\eDSloader.exe"
"ePower_DMC"="C:\\Acer\\Empowering Technology\\ePower\\ePower_DMC.exe"
"Acer ePower Management"="C:\\Acer\\Empowering Technology\\ePower\\Acer ePower Management.exe boot"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\LManager.exe"
"eRecoveryService"="C:\\Acer\\Empowering Technology\\eRecovery\\Monitor.exe"
"ADMTray.exe"="\"C:\\Acer\\Empowering Technology\\admtray.exe\""
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
@=""
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
@=""
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
@=""
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\MMediaCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\MMediaCodec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"contrabandists"="{dfa61db1-388e-4c87-8d56-540fa229bcb4}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Jonathan.job

Completion time: 06-10-15 22:07:04.18
C:\ComboFix.txt ... 06-10-15 22:07
Seitenanfang Seitenende
16.10.2006, 10:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 PC_Joe

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\MMediaCodec" >>files.txt
dir "C:\Programme\WindowsUpdate" >>files.txt
notepad files.txt
______________________________________________

««
gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
löschen
contrabandists"="{dfa61db1-388e-4c87-8d56-540fa229bcb4}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
löschen
"{dfa61db1-388e-4c87-8d56-540fa229bcb4}"="contrabandists"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - loeschen

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe
"pmsngr.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{44d22a64-2399-4edf-8b32-f2c729c1e8a7}

_______________________________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBurster
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MMediaCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBurster
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44d22a64-2399-4edf-8b32-f2c729c1e8a7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d869742a-e5d2-4624-96c7-aae26170665e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A569F6C9-29F0-43BC-80CF-6BA138C66108}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MMediaCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBurster
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusburster.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d869742a-e5d2-4624-96c7-aae26170665e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d869742a-e5d2-4624-96c7-aae26170665e}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03

Files to delete:
C:\WINDOWS\system32\dpfwu.dll

Folders to delete:
C:\Programme\MMediaCodec
Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

_________________

loesche das Backup vom Avenger unter C:\Avenger\backup.zip

««
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
öffne das HijackThis -- Button "scan" -- vor die Einträge (soweit sie noch vorhanden sind....... ) - Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {d869742a-e5d2-4624-96c7-aae26170665e} - C:\Programme\MMediaCodec\isaddon.dll

O3 - Toolbar: Protection Bar - {44d22a64-2399-4edf-8b32-f2c729c1e8a7} - C:\Programme\MMediaCodec\iesplugin.dll

O21 - SSODL: contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4} - C:\WINDOWS\system32\dpfwu.dll


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: