SpyQuake 2.3 Critical System Error, Malware. Trojaner und vieles mehr!!

#0
24.09.2006, 17:07
Member

Beiträge: 17
#1 Hallo Sabina,

ich hoffe du kannst mir helfen!
Ich habe Hijack This angewendet.
Hier ist das Log:


Logfile of HijackThis v1.99.1
Scan saved at 17:04:46, on 24.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
c:\programme\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Was brauchst du noch?
Hoffe du hilfst mir weiter!

Hier ist das Log vom Silent runner:

"Silent Runners.vbs", revision 48, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"{40A50906-0BB0-1031-0203-060506210031}" = ""C:\Programme\Gemeinsame Dateien\{40A50906-0BB0-1031-0203-060506210031}\Update.exe" mc-110-12-0000272" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"ishost.exe" = "ishost.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\system32\isnotify.exe" [null data]
"issearch.exe" = "issearch.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{16426317-E535-40FA-9B4D-21CA7E2C5A1E}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\pmkhg.dll" [null data]
{41D68ED8-4CFF-4115-88A6-6EBB8AF19000}\(Default) = (no title provided)
-> {HKLM...CLSID} = "McAfee Anti-Phishing Filter"
\InProcServer32\(Default) = "c:\programme\mcafee\spamkiller\mcapfbho.dll" ["McAfee, Inc."]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security 2006"
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{a43385f0-7113-496d-96d7-b9b550e3fcca}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ixt0.dll" [null data]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "Bluetooth-Umgebung"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["Broadcom Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.0.0812.00.dll" [MS]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FACEB420-912E-11D3-B7D5-0080AD41AF95}" = "Squeez ContextMenu-Handler"
-> {HKLM...CLSID} = "Squeez ContextMenu-Handler"
\InProcServer32\(Default) = "C:\Programme\SpeedProject\Squeez 5\SQShell.dll" ["SWE Sven Ritter"]
"{FACEB421-912E-11D3-B7D5-0080AD41AF95}" = "Squeez DragDrop-Handler"
-> {HKLM...CLSID} = "Squeez DragDrop-Handler"
\InProcServer32\(Default) = "C:\Programme\SpeedProject\Squeez 5\SQShell.dll" ["SWE Sven Ritter"]
"{FACEB422-912E-11D3-B7D5-0080AD41AF95}" = "Squeez Drop-Handler"
-> {HKLM...CLSID} = "Squeez Drop-Handler"
\InProcServer32\(Default) = "C:\Programme\SpeedProject\Squeez 5\SQShell.dll" ["SWE Sven Ritter"]
"{FACEB423-912E-11D3-B7D5-0080AD41AF95}" = "Squeez InfoTip-Handler"
-> {HKLM...CLSID} = "Squeez InfoTip-Handler"
\InProcServer32\(Default) = "C:\Programme\SpeedProject\Squeez 5\SQShell.dll" ["SWE Sven Ritter"]
"{FACEB424-912E-11D3-B7D5-0080AD41AF95}" = "Squeez PropertySheet-Handler"
-> {HKLM...CLSID} = "Squeez PropertySheet-Handler"
\InProcServer32\(Default) = "C:\Programme\SpeedProject\Squeez 5\SQShell.dll" ["SWE Sven Ritter"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! pmkhg\DLLName = "C:\WINDOWS\system32\pmkhg.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\pdfshell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Squeez5\(Default) = "{FACEB420-912E-11D3-B7D5-0080AD41AF95}"
-> {HKLM...CLSID} = "Squeez ContextMenu-Handler"
\InProcServer32\(Default) = "C:\Programme\SpeedProject\Squeez 5\SQShell.dll" ["SWE Sven Ritter"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
Squeez5\(Default) = "{FACEB420-912E-11D3-B7D5-0080AD41AF95}"
-> {HKLM...CLSID} = "Squeez ContextMenu-Handler"
\InProcServer32\(Default) = "C:\Programme\SpeedProject\Squeez 5\SQShell.dll" ["SWE Sven Ritter"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"ISP-Anmeldungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /i /n:1" [MS]
"McAfee.com - Virenscan - Mein Computer (YOZGAT-Arslan)" -> launches: "c:\programme\mcafee.com\vso\mcmnhdlr.exe /runtask:0" ["McAfee, Inc."]
"Norton AntiVirus - Vollständige Systemprüfung ausführen - Arslan" -> launches: "C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{052B12F7-86FA-4921-8482-26C42316B522}"
-> {HKLM...CLSID} = "Safety Bar"
\InProcServer32\(Default) = "C:\Programme\Safety Bar\SafetyBar.dll" [null data]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}"
-> {HKLM...CLSID} = "Norton Internet Security 2006"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security 2006"
-> {HKLM...CLSID} = "Norton Internet Security 2006"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
"{052B12F7-86FA-4921-8482-26C42316B522}" = (no title provided)
-> {HKLM...CLSID} = "Safety Bar"
\InProcServer32\(Default) = "C:\Programme\Safety Bar\SafetyBar.dll" [null data]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Bluetooth Service, btwdins, "C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe" ["Broadcom Corporation"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
McAfee Personal Firewall Service, MpfService, "C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe" ["McAfee Corporation"]
McAfee SpamKiller Server, MskService, "C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe" ["McAfee Inc."]
McAfee Task Scheduler, McTskshd.exe, "c:\PROGRA~1\mcafee.com\agent\mctskshd.exe" ["McAfee, Inc"]
McAfee WSC Integration, McDetect.exe, "c:\programme\mcafee.com\agent\mcdetect.exe" ["McAfee, Inc"]
McAfee.com McShield, McShield, "c:\PROGRA~1\mcafee.com\vso\mcshield.exe" ["McAfee Inc."]
Media Center Extender Service, McrdSvc, "C:\WINDOWS\ehome\mcrdsvc.exe" [MS]
Media Center Receiver Service, ehRecvr, "C:\WINDOWS\eHome\ehRecvr.exe" [MS]
Media Center-Planerdienst, ehSched, "C:\WINDOWS\eHome\ehSched.exe" [MS]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton Protection Center Service, NSCService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" ["Broadcom Corporation"]
hpZJLanguageMonitor\Driver = "ZLMhp1.DLL" ["Zenographics"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 60 seconds, including 9 seconds for message boxes)


soviel von mir mal. :) Hoffe ich bekomme diese Viren vom Computer!
Seitenanfang Seitenende
24.09.2006, 17:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.09.2006, 16:28
Member

Themenstarter

Beiträge: 17
#3 Hallo Sabina

danke für deine schnelle Antwort.
Hier ist die Textdatei von Datfindbat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40A5-0906

Verzeichnis von C:\WINDOWS\system32

26.09.2006 16:25 657.653 ghkmp.ini2
26.09.2006 16:24 658.385 ghkmp.bak1
26.09.2006 16:23 658.215 ghkmp.bak2
26.09.2006 16:22 19.968 ixt0.dll
26.09.2006 16:22 5.120 ismini.exe
26.09.2006 16:22 133.472 Status.MPF
25.09.2006 21:10 8.908 isnotify.exe
25.09.2006 21:10 31.744 issearch.exe
25.09.2006 21:05 45.525 itkbucov.dll
25.09.2006 21:05 143.380 nvjtduou.exe
25.09.2006 10:12 2.206 wpa.dbl
23.09.2006 12:08 633.916 ghkmp.ini
23.09.2006 11:30 633.136 ghkmp.tmp
21.09.2006 17:26 577.588 pmkhg.dll
21.09.2006 14:05 3.004 fxmngr.exe
21.09.2006 14:05 4.286 ot.ico
21.09.2006 14:05 4.286 ts.ico
21.09.2006 13:59 34.832 ishost.exe
21.09.2006 13:59 94.208 uhvjsul.dll
16.09.2006 09:24 4.128 MRT.INI
15.09.2006 22:04 48.816 S32EVNT1.DLL
11.09.2006 19:37 8.960.936 MRT.exe
05.09.2006 21:28 8.775 jupdate-1.5.0_08-b03.log
04.09.2006 19:08 24.072 uxtuneup.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
17.08.2006 10:47 186 n.bat
17.08.2006 10:47 128 install.exe
17.08.2006 10:47 128 dr.exe
07.08.2006 16:02 534.208 SymNeti.dll
07.08.2006 16:02 161.472 SymRedir.dll
29.07.2006 19:32 48.936 sirenacm.dll
28.07.2006 13:30 3.079.168 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 03:03 127.078 javaws.exe
26.07.2006 03:03 49.265 jpicpl32.cpl
26.07.2006 01:26 53.346 javaw.exe
26.07.2006 01:25 49.248 java.exe
25.07.2006 22:42 617.472 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
13.07.2006 09:36 53.436 perfc009.dat
13.07.2006 09:36 381.692 perfh009.dat
13.07.2006 09:36 64.406 perfc007.dat
13.07.2006 09:36 392.456 perfh007.dat
13.07.2006 09:36 902.370 PerfStringBackup.INI
09.07.2006 11:25 147.456 vbzip10.dll
05.07.2006 12:55 1.057.792 kernel32.dll




hier ist die zweite Textdatei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40A5-0906

Verzeichnis von C:\DOKUME~1\Arslan\LOKALE~1\Temp

25.09.2006 10:45 106.516 ruiqbulo.dll
25.09.2006 10:36 16.384 ~DF50BC.tmp
25.09.2006 10:32 106.516 qkqiykla.dll
25.09.2006 10:23 5.851 plf9A.tmp
24.09.2006 16:38 16.384 ~DF9092.tmp
24.09.2006 16:38 16.384 ~DFC9BE.tmp
24.09.2006 16:35 16.384 ~DF31ED.tmp
24.09.2006 16:33 16.384 ~DF8AF0.tmp
24.09.2006 16:31 16.384 ~DF4700.tmp
24.09.2006 16:30 16.384 ~DF1F8F.tmp
24.09.2006 16:30 16.384 ~DF92D.tmp
24.09.2006 16:18 30.735 AGLanguage.ini
23.09.2006 12:08 2.048.000 Acr4A4.tmp
23.09.2006 11:10 3.658 SNDSetup60.log
23.09.2006 11:10 242.876 SND_MSI_U_6.0.0.99.log
23.09.2006 11:09 4.520 SNDunin.log
23.09.2006 11:09 27.841 SYMEVENT.LOG
23.09.2006 11:09 8.405 IDSinst.LOG
23.09.2006 11:09 333.064 SND_MSI_I_6.0.4.402.log
22.09.2006 16:48 9.650.994 Norton Internet Security 2006 9-22-2006 16h32m50s.log
22.09.2006 16:46 124 AVRES_OPTRF_LiveUpdate.dat
22.09.2006 16:42 2.014 CLTDIST.log
22.09.2006 16:31 450 PreScan.log
21.09.2006 18:12 16.384 ~DF9B79.tmp
21.09.2006 18:08 16.384 ~DFBAF9.tmp
21.09.2006 17:45 346 jusched.log
21.09.2006 17:40 16.384 ~DF78E2.tmp
21.09.2006 17:40 32.723 SQLanguage.ini
21.09.2006 17:20 16.384 ~DF86B0.tmp
21.09.2006 17:11 16.384 ~DF325F.tmp
20.09.2006 21:38 110 AF3EE5AA.TMP
17.09.2006 23:23 118 56C44BEB.TMP
17.09.2006 00:20 124 0CF6E057.TMP
07.04.2006 16:28 13.462.528 be2e8.msi
34 Datei(en) 26.280.505 Bytes
0 Verzeichnis(se), 119.243.124.736 Bytes frei


hier die dritte Textdatei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40A5-0906

Verzeichnis von C:\WINDOWS

26.09.2006 16:22 0 0.log
26.09.2006 16:22 1.857.669 WindowsUpdate.log
26.09.2006 16:22 159 wiadebug.log
26.09.2006 16:22 50 wiaservc.log
26.09.2006 16:18 2.048 bootstat.dat
26.09.2006 16:18 32.580 SchedLgU.Txt
25.09.2006 11:58 54.156 QTFont.qfn
25.09.2006 10:26 888.974 setupapi.log
23.09.2006 17:41 1.598 setupact.log
20.09.2006 13:49 116 NeroDigital.ini
19.09.2006 11:07 1.409 QTFont.for
16.09.2006 09:25 26.300 ehOCGen.log
16.09.2006 09:25 78.731 MedCtrOC.log
16.09.2006 09:25 531.506 iis6.log
16.09.2006 09:25 156.012 comsetup.log
16.09.2006 09:25 94.381 ntdtcsetup.log
16.09.2006 09:25 208.173 tsoc.log
16.09.2006 09:25 1.374 imsins.log
16.09.2006 09:25 22.131 tabletoc.log
16.09.2006 09:25 24.469 ocmsn.log
16.09.2006 09:25 12.806 KB920685.log
16.09.2006 09:25 91.186 netfxocm.log
16.09.2006 09:25 54.410 plusoc.log
16.09.2006 09:25 224.386 ocgen.log
16.09.2006 09:25 22.312 msgsocm.log
16.09.2006 09:25 452.648 FaxSetup.log
16.09.2006 09:25 144.448 msmqinst.log
16.09.2006 09:25 1.374 imsins.BAK
16.09.2006 09:25 14.583 KB920872.log
16.09.2006 09:25 12.951 KB919007.log
16.09.2006 09:24 9.159 KB922582.log
16.09.2006 09:24 0 setuperr.log
16.09.2006 09:24 29.201 updspapi.log
14.09.2006 20:27 149.950 wmsetup.log
17.08.2006 00:00 16.553 KB922616.log
14.08.2006 19:18 0 PROTOCOL.INI
14.08.2006 19:17 561 stammbaum.INI
14.08.2006 19:06 73.216 cadkasdeinst01.exe
10.08.2006 00:02 12.513 KB921883.log
23.07.2006 14:14 0 keyboard1.dat
16.07.2006 21:48 43 drsmartload2.dat
16.07.2006 21:48 0 newname.dat
09.07.2006 10:50 9.487 WgaNotify.log

die vierte und letzte
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40A5-0906

Verzeichnis von C:\

26.09.2006 16:34 0 sys.txt
26.09.2006 16:32 7.195 system.txt
26.09.2006 16:29 2.000 systemtemp.txt
26.09.2006 16:25 104.400 system32.txt
26.09.2006 16:18 534.925.312 hiberfil.sys
26.09.2006 16:18 805.306.368 pagefile.sys
24.09.2006 16:56 3.396 prefetch.txt
24.09.2006 16:55 1.906 Dsystemp.txt
24.09.2006 16:55 104.300 DSYS32.txt
24.09.2006 16:55 2.788 OW.txt
24.09.2006 16:55 7.246 DW.txt
24.09.2006 16:54 3.255 OP.txt
24.09.2006 16:54 114 DP.txt
24.09.2006 16:54 852 OC.txt
24.09.2006 16:53 1.204 DC.txt
23.09.2006 17:19 4.128 INFCACHE.1
21.09.2006 14:32 1.100 VundoFix.txt
06.09.2006 10:13 0 MSDOS.SYS
28.08.2006 12:05 0 IO.SYS
29.03.2006 15:54 209 boot.ini
20.08.2005 02:58 0 CONFIG.SYS
20.08.2005 02:58 0 AUTOEXEC.BAT
10.08.2004 16:00 4.952 bootfont.bin
10.08.2004 16:00 47.564 NTDETECT.COM
10.08.2004 16:00 251.184 ntldr
25 Datei(en) 1.340.779.473 Bytes
0 Verzeichnis(se), 119.243.063.296 Bytes frei


und nun die Textdatei von Combofix

Arslan - 06-09-26 16:42:29,23 Service Pack 2
ComboFix 06.09.26 - Running from: "C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\combofix"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload2.dat
C:\Programme\TClock\tclock_install.exe
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\Programme\Safety Bar
C:\Programme\winupdates
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{40A50906-0BB0-1031-0203-060506210031}
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ixt0.dll


((((((((((((((((((((((((((((((( Files Created from 2006-08-26 to 2006-09-26 ))))))))))))))))))))))))))))))))))


2006-09-26 16:42 19,968 --a------ C:\WINDOWS\system32\ixt1.dll
2006-09-25 21:05 45,525 --a------ C:\WINDOWS\system32\itkbucov.dll
2006-09-25 21:05 143,380 --a------ C:\WINDOWS\system32\nvjtduou.exe
2006-09-23 17:33 634,078 ---hs---- C:\WINDOWS\system32\ghkmp.ini2
2006-09-23 10:58 658,215 ---hs---- C:\WINDOWS\system32\ghkmp.bak2
2006-09-22 16:35 48,816 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-21 17:26 658,385 ---hs---- C:\WINDOWS\system32\ghkmp.bak1
2006-09-21 17:26 577,588 ---hs---- C:\WINDOWS\system32\pmkhg.dll
2006-09-21 14:05 3,004 --a------ C:\WINDOWS\system32\fxmngr.exe
2006-09-21 13:59 94,208 --a------ C:\WINDOWS\system32\uhvjsul.dll
2006-09-21 12:32 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-06 10:13 0 -rahs---- C:\MSDOS.SYS
2006-08-28 12:05 0 -rahs---- C:\IO.SYS


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-26 16:43 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-26 16:42 -------- d-------- C:\Programme\TClock
2006-09-26 16:14 -------- d-------- C:\Programme\CleanUp!
2006-09-25 21:05 -------- d-------- C:\Programme\VSToolbar
2006-09-25 21:05 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\SearchToolbarCorp
2006-09-25 10:32 -------- d-------- C:\Programme\McAfee.com
2006-09-25 10:29 -------- d-------- C:\Programme\Symantec
2006-09-25 10:27 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-23 11:28 -------- d-------- C:\Programme\Norton Internet Security
2006-09-23 10:58 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Symantec
2006-09-22 16:44 -------- d-------- C:\Programme\VirusRescue
2006-09-22 16:42 10344 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys
2006-09-22 16:28 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Azureus
2006-09-22 15:44 -------- d-------- C:\Programme\AntivirusGolden
2006-09-21 17:41 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Skype
2006-09-21 13:17 -------- d-------- C:\Programme\LimeWire
2006-09-21 12:39 -------- d-------- C:\Programme\WinAhnen
2006-09-21 12:32 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-09-21 12:32 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\TuneUp Software
2006-09-21 12:31 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-17 16:09 -------- d-------- C:\Programme\Opera
2006-09-15 22:04 109744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-05 21:28 -------- d-------- C:\Programme\Java
2006-09-05 21:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-09-03 11:09 -------- d-------- C:\Programme\MSN Messenger
2006-08-31 17:05 -------- d-------- C:\Programme\Azureus
2006-08-28 18:54 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Ahead
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-17 10:47 186 --a------ C:\WINDOWS\system32\n.bat
2006-08-17 10:47 128 --a------ C:\WINDOWS\system32\install.exe
2006-08-17 10:47 128 --a------ C:\WINDOWS\system32\dr.exe
2006-08-17 00:00 -------- d-------- C:\Programme\Internet Explorer
2006-08-14 19:21 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Help
2006-08-14 19:10 -------- d-------- C:\Programme\Stammbaum-Drucker 3
2006-08-14 19:06 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2006-08-07 16:02 534208 --a------ C:\WINDOWS\system32\SymNeti.dll
2006-08-07 16:02 31936 --a------ C:\WINDOWS\system32\drivers\symids.sys
2006-08-07 16:02 28352 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2006-08-07 16:02 24768 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2006-08-07 16:02 195776 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2006-08-07 16:02 161472 --a------ C:\WINDOWS\system32\SymRedir.dll
2006-08-07 16:02 110784 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2006-08-07 16:01 12992 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-09 11:25 147456 --a------ C:\WINDOWS\system32\vbzip10.dll
2006-06-09 20:17 187 --a--c--- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\G-Force Prefs (WindowsMediaPlayer).txt


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MCUpdateExe"="C:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"
"MSKAGENTEXE"="C:\\PROGRA~1\\McAfee\\SPAMKI~1\\MskAgent.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhg

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Arslan.job

Completion time: 26.09.2006 16:44:09.34
ComboFix.txt


Danke schon im Voraus
LG Karlsruhe
Dieser Beitrag wurde am 26.09.2006 um 16:49 Uhr von Karlsruhe editiert.
Seitenanfang Seitenende
27.09.2006, 00:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold
HKEY_CLASSES_ROOT\AppID\Cerberus.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AntivirusGold.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusGold

Files to delete:
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\ruiqbulo.dll
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\~DF50BC.tmp
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\qkqiykla.dll
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\plf9A.tmp
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\AGLanguage.ini
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\SQLanguage.ini
C:\WINDOWS\system32\ghkmp.ini2
C:\WINDOWS\system32\ghkmp.bak1
C:\WINDOWS\system32\ghkmp.bak2
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\itkbucov.dll
C:\WINDOWS\system32\nvjtduou.exe
C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.tmp
C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\fxmngr.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\uhvjsul.dll
C:\Programme\n.bat
C:\Programme\install.exe
C:\Programme\dr.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\dr.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntivirusGolden 3.3.lnk
C:\Dokumente und Einstellungen\Arslan\Startmenü\Programme\AntivirusGolden 3.3.lnk
C:\Dokumente und Einstellungen\Arslan\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusGolden 3.3.lnk

Folders to delete:
C:\Programme\Safety Bar
C:\Programme\TClock
C:\Programme\AntivirusGolden
C:\Programme\VSToolbar
C:\Dokumente und Einstellungen\All Users\Startmenü\Programs\AntivirusGolden
C:\Dokumente und Einstellungen\Arslan\Startmenü\Programs\AntivirusGolden
C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\SearchToolbarCorp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was nach neustart erscheint


**
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll

PC neustarten

**
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste beide reporte

**
scanne mit Counterspy, stelle nach dem scan alles auf "remove" und poste den report
http://virus-protect.org/counterspy.html

-----------
AntivirusGolden - remove - Information
http://virus-protect.org/artikel/spyware/antivirusgolden_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 11:47
Member

Themenstarter

Beiträge: 17
#5 Hallo hier ist das Log vom Avenger:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CLASSES_ROOT\AppID\Cerberus.EXE


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kmymmvjo

*******************

Script file located at: \??\C:\Program Files\jkooyibt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\ruiqbulo.dll not found!
Deletion of file C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\ruiqbulo.dll failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\ruiqbulo.dll
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\~DF50BC.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\~DF50BC.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\~DF50BC.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\qkqiykla.dll not found!
Deletion of file C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\qkqiykla.dll failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\qkqiykla.dll
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\plf9A.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\plf9A.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\plf9A.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\AGLanguage.ini not found!
Deletion of file C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\AGLanguage.ini failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\AGLanguage.ini
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\SQLanguage.ini not found!
Deletion of file C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\SQLanguage.ini failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\SQLanguage.ini
Status: 0xc0000034

File C:\WINDOWS\system32\ghkmp.ini2 deleted successfully.
File C:\WINDOWS\system32\ghkmp.bak1 deleted successfully.
File C:\WINDOWS\system32\ghkmp.bak2 deleted successfully.


File C:\WINDOWS\system32\ixt0.dll not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll failed!

Could not process line:
C:\WINDOWS\system32\ixt0.dll
Status: 0xc0000034



File C:\WINDOWS\system32\ismini.exe not found!
Deletion of file C:\WINDOWS\system32\ismini.exe failed!

Could not process line:
C:\WINDOWS\system32\ismini.exe
Status: 0xc0000034



File C:\WINDOWS\system32\isnotify.exe not found!
Deletion of file C:\WINDOWS\system32\isnotify.exe failed!

Could not process line:
C:\WINDOWS\system32\isnotify.exe
Status: 0xc0000034



File C:\WINDOWS\system32\issearch.exe not found!
Deletion of file C:\WINDOWS\system32\issearch.exe failed!

Could not process line:
C:\WINDOWS\system32\issearch.exe
Status: 0xc0000034

File C:\WINDOWS\system32\itkbucov.dll deleted successfully.
File C:\WINDOWS\system32\nvjtduou.exe deleted successfully.
File C:\WINDOWS\system32\ghkmp.ini deleted successfully.
File C:\WINDOWS\system32\ghkmp.tmp deleted successfully.
File C:\WINDOWS\system32\pmkhg.dll deleted successfully.
File C:\WINDOWS\system32\fxmngr.exe deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.


File C:\WINDOWS\system32\ishost.exe not found!
Deletion of file C:\WINDOWS\system32\ishost.exe failed!

Could not process line:
C:\WINDOWS\system32\ishost.exe
Status: 0xc0000034

File C:\WINDOWS\system32\uhvjsul.dll deleted successfully.


File C:\Programme\n.bat not found!
Deletion of file C:\Programme\n.bat failed!

Could not process line:
C:\Programme\n.bat
Status: 0xc0000034



File C:\Programme\install.exe not found!
Deletion of file C:\Programme\install.exe failed!

Could not process line:
C:\Programme\install.exe
Status: 0xc0000034



File C:\Programme\dr.exe not found!
Deletion of file C:\Programme\dr.exe failed!

Could not process line:
C:\Programme\dr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\n.bat deleted successfully.
File C:\WINDOWS\system32\install.exe deleted successfully.
File C:\WINDOWS\system32\dr.exe deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.


File C:\WINDOWS\drsmartload2.dat not found!
Deletion of file C:\WINDOWS\drsmartload2.dat failed!

Could not process line:
C:\WINDOWS\drsmartload2.dat
Status: 0xc0000034

File C:\WINDOWS\newname.dat deleted successfully.


File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntivirusGolden 3.3.lnk not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntivirusGolden 3.3.lnk failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntivirusGolden 3.3.lnk
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Arslan\Startmenü\Programme\AntivirusGolden 3.3.lnk not found!
Deletion of file C:\Dokumente und Einstellungen\Arslan\Startmenü\Programme\AntivirusGolden 3.3.lnk failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Startmenü\Programme\AntivirusGolden 3.3.lnk
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\Arslan\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusGolden 3.3.lnk for deletion
Deletion of file C:\Dokumente und Einstellungen\Arslan\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusGolden 3.3.lnk failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusGolden 3.3.lnk
Status: 0xc000003a



Folder C:\Programme\Safety Bar not found!
Deletion of folder C:\Programme\Safety Bar failed!

Could not process line:
C:\Programme\Safety Bar
Status: 0xc0000034

Folder C:\Programme\TClock deleted successfully.
Folder C:\Programme\AntivirusGolden deleted successfully.
Folder C:\Programme\VSToolbar deleted successfully.


Could not open folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programs\AntivirusGolden for deletion
Deletion of folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programs\AntivirusGolden failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programs\AntivirusGolden
Status: 0xc000003a



Could not open folder C:\Dokumente und Einstellungen\Arslan\Startmenü\Programs\AntivirusGolden for deletion
Deletion of folder C:\Dokumente und Einstellungen\Arslan\Startmenü\Programs\AntivirusGolden failed!

Could not process line:
C:\Dokumente und Einstellungen\Arslan\Startmenü\Programs\AntivirusGolden
Status: 0xc000003a

Folder C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\SearchToolbarCorp deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhg deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AntivirusGold.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AntivirusGold.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusGold not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusGold failed!
Status: 0xc0000034


Completed script processing.

*******************
Finished! Terminate.

DANKE

Hallo Sabina hier ist der erste Report von SmitFraudFix

SmitFraudFix v2.100

Scan done at 12:02:35,28, 27.09.2006
Run from C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Arslan


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Arslan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\Arslan\STARTM~1\AntivirusGolden 3.3.lnk FOUND !
C:\DOKUME~1\Arslan\STARTM~1\PROGRA~1\AntivirusGolden FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Arslan\FAVORI~1

C:\DOKUME~1\Arslan\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

und hier der zweite

SmitFraudFix v2.100

Scan done at 12:09:02,21, 27.09.2006
Run from C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Danke Sabina
Dieser Beitrag wurde am 27.09.2006 um 12:14 Uhr von Karlsruhe editiert.
Seitenanfang Seitenende
27.09.2006, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll
PC neustarten

**
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste beide reporte

**
scanne mit Counterspy, stelle nach dem scan alles auf "remove" und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 12:57
Member

Themenstarter

Beiträge: 17
#7 Hallo ich hab das scanne mit smitfrausfix (option 1 und 2 ) schon gepostet. Hier ist das Ergebnis vom CounterSpy

Spyware Scan Details
Start Date: 27.09.2006 12:26:29
End Date: 27.09.2006 12:41:51
Total Time: 15 mins 22 secs

Detected spyware

http://virus-protect.org/artikel/spyware/virusrescue_remove.html
VirusRescue Rogue Security Program more information...
Details: VirusRescue is a program that purports to remove spyware and malware from users' computers but is distributed by malware.
Status: Deleted

Infected files detected
c:\programme\virusrescue\asc4.dll
c:\programme\virusrescue\config.ini
c:\programme\virusrescue\kernel40.dll
c:\programme\virusrescue\oe.api
c:\programme\virusrescue\oe4.api
c:\programme\virusrescue\pl.dll
c:\programme\virusrescue\sdebug.log
c:\programme\virusrescue\stopapi4.dll
c:\programme\virusrescue\thebat.api
c:\programme\virusrescue\unarj.api
c:\programme\virusrescue\unrar.api
c:\programme\virusrescue\unzip.api
c:\programme\virusrescue\virusrescue.exe
c:\programme\virusrescue\vrext.dll


AntiVirus Gold Rogue Security Program more information...
Details: AntiVirus Gold is a is a purported anti-spyware and antivirus application to scan for and remove malware from users' computers.
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\arslan\anwendungsdaten\microsoft\internet explorer\quick launch\antivirusgolden 3.3.lnk


PartyPoker Potentially Unwanted Program more information...
Details: PartyPoker is an online gambling application that requires the user to download its software in order to play.
Status: Deleted

Infected files detected
C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Opera\Opera\profile\images\de.partypoker.com.ico


WinAntiVirus Pro Rogue Security Program more information...
Status: Deleted

Infected files detected
C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\complete.bat\WinAntiVirusPro2006FreeInstallSennur.exe


StartPage.TimesSquare Hijacker more information...
Details: StartPage.TimesSquare hijacks the IE start page and search pages and displays ads.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main Default_Search_URL http://searchbar.findthewebsiteyouneed.com


SpamTool.Win32.Mailbot.az Trojan more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386


VSToolbar Toolbar more information...
Details: VSToolbar is an adware application that installs a browser helper object (BHO) in Internet Explorer.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}\InProcServer32 C:\Programme\VSToolbar\VSToolBar.dll
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}\InProcServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51} &VSToolBar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51} DisplayName VSToolbar for Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51} UninstallString regsvr32.exe /u /s "C:\Programme\VSToolbar\VSToolBar.dll"
HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision
HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision\Options New Window 0
HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision\Options Show Page Search 1
HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision\Options Sort Method 2
HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision\Options Default Action 2


Backdoor.Rustock Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lzx32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lzx32


Cookie: DoubleClick Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\arslan\cookies\arslan@doubleclick[1].txt

Schönen Dank für deine Mühe
Seitenanfang Seitenende
27.09.2006, 13:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
loesche die backups vom Avenger c:\Avenger\backup.zip

2.
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 15:24
Member

Themenstarter

Beiträge: 17
#9 So jetzt Dr. Web, ich hoffe, dass ich alles richtig gemacht habe

A0026525.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP105;BackDoor.IRC.Ranm;Gelöscht.;
A0029797.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP111;BackDoor.IRC.Ranm;Gelöscht.;
A0031316.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;Trojan.Mezzia;Gelöscht.;
A0031474.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;Trojan.DownLoader.12291;Gelöscht.;
A0031617.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;BackDoor.IRC.Ranm;Gelöscht.;
A0031632.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;BackDoor.IRC.Ranm;Gelöscht.;
A0031633.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;BackDoor.IRC.Ranm;Gelöscht.;
A0033888.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Trojan.DownLoader.10963;Gelöscht.;
A0033889.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;BackDoor.IRC.Ranm;Gelöscht.;
A0033895.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Trojan.DownLoader.10963;Gelöscht.;
A0033898.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Trojan.Fakealert;Gelöscht.;
A0033900.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Trojan.Virtumod;Gelöscht.;
A0036275.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Trojan.DownLoader.10963;Gelöscht.;
A0037458.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Trojan.Iespy;Gelöscht.;
A0037504.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP116;Trojan.DownLoader.10963;Gelöscht.;
A0019225.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP60;BackDoor.IRC.Ranm;Gelöscht.;
A0019718.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP67;Trojan.Starter.65;Gelöscht.;
A0019800.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP67;Trojan.Starter.65;Gelöscht.;
A0019922.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Trojan.Starter.65;Gelöscht.;
A0020008.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Trojan.Starter.65;Gelöscht.;
A0020060.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Trojan.Starter.65;Gelöscht.;
A0020114.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Trojan.Starter.65;Gelöscht.;
A0021227.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Trojan.Starter.65;Gelöscht.;
A0021337.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Trojan.Starter.65;Gelöscht.;
A0021444.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP73;Trojan.Starter.65;Gelöscht.;
A0021578.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0021715.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0021884.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0021966.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0022006.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0022102.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0022226.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0022295.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Starter.65;Gelöscht.;
A0022518.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.Click.1288;Gelöscht.;
A0022520.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.DownLoader.10581;Gelöscht.;
A0022521.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.DownLoader.10308;Gelöscht.;
A0022522.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Trojan.DownLoader.11549;Gelöscht.;
A0022553.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP75;Trojan.DownLoader.5013;Gelöscht.;
A0022554.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP75;Trojan.DownLoader.5013;Gelöscht.;
A0022559.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP75;Trojan.DownLoader.5013;Gelöscht.;
A0022579.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP76;Trojan.DownLoader.11989;Gelöscht.;
A0022885.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP78;Trojan.DownLoader.11989;Gelöscht.;
A0023189.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP84;BackDoor.IRC.Ranm;Gelöscht.;
A0023300.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP87;Trojan.DownLoader.11989;Gelöscht.;
A0023323.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP87;Trojan.DownLoader.11989;Gelöscht.;
A0023409.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP88;Trojan.DownLoader.11989;Gelöscht.;
A0023416.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP88;Trojan.MulDrop.4106;Gelöscht.;
A0023498.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP89;Trojan.DownLoader.11989;Gelöscht.;
A0023505.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP89;Trojan.MulDrop.4106;Gelöscht.;
A0024143.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Trojan.Click.1206;Gelöscht.;
A0024576.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP97;Trojan.DownLoader.11989;Gelöscht.;
Silent Runners.vbs;C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\silent runner;möglicherweise BATCH.Virus;;
Process.exe;C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\SmitfraudFix\SmitfraudFix;Tool.Prockill;;
A0031586.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;Tool.ShutDown.11;;
A0031637.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;Adware.DollarRevenue;;
A0031638.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;Adware.DollarRevenue;;
A0031639.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP112;Adware.DollarRevenue;;
A0033891.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Adware.FastSearch;;
A0037452.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Adware.SearchColours;;
A0037459.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP114;Adware.SearchColours;;
A0019720.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP67;Adware.FastSearch;;
A0019728.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP67;Adware.DollarRevenue;;
A0019802.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP67;Adware.FastSearch;;
A0019807.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP67;Adware.DollarRevenue;;
A0019924.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.FastSearch;;
A0019932.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0020010.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.FastSearch;;
A0020016.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0020062.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.FastSearch;;
A0020068.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0020116.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.FastSearch;;
A0020122.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0021167.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0021231.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0021232.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0021339.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.FastSearch;;
A0021347.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP72;Adware.DollarRevenue;;
A0021451.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP73;Adware.DollarRevenue;;
A0021580.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.FastSearch;;
A0021586.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0021717.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.FastSearch;;
A0021720.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0021887.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.FastSearch;;
A0021892.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0021968.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.FastSearch;;
A0021974.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0022012.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0022104.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.FastSearch;;
A0022115.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0022229.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.FastSearch;;
A0022234.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0022297.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.FastSearch;;
A0022309.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0022517.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0022519.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP74;Adware.DollarRevenue;;
A0022581.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP76;Adware.FastSearch;;
A0022700.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP77;Adware.DollarRevenue;;
A0022887.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP78;Adware.FastSearch;;
A0023325.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP87;Adware.FastSearch;;
A0023411.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP88;Adware.FastSearch;;
A0023418.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP88;Adware.DollarRevenue;;
A0023500.dll;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP89;Adware.FastSearch;;
A0024128.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024129.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024130.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024131.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024132.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024133.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024134.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024135.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024136.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024137.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024138.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024139.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024141.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024142.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024144.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024145.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;
A0024146.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP94;Adware.DollarRevenue;;


Bin schon gespannt, was jetzt kommt.
Seitenanfang Seitenende
27.09.2006, 15:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scanne mit panda und mit kaspersky und poste beide scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 16:30
Member

Themenstarter

Beiträge: 17
#11 Hallo Sabina hier ist der Panda-Report, Kaspersky kommt noch


Incident Status Location

Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Arslan\Cookies\arslan@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Arslan\Cookies\arslan@doubleclick[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Arslan\Cookies\arslan@weborama[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\RECYCLER\S-1-5-21-419839810-2869165269-1843787200-1005\Dc2.zip[SmitfraudFix/Process.exe]
Virus:Bck/TclockBased.A Disinfected C:\RECYCLER\S-1-5-21-419839810-2869165269-1843787200-1005\Dc4.zip[avenger/TClock/tclock.exe]
Virus:Trj/DisableKey.A Disinfected C:\RECYCLER\S-1-5-21-419839810-2869165269-1843787200-1005\Dc4.zip[avenger/uhvjsul.dll]
Adware:Adware/SuperSpider Not disinfected C:\VundoFix Backups\winrkp32.dll.bad


der 1.Teil vom Scan von kaspersky:
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 27. September 2006 16:34:52
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 27/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 213574
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\Arslan\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 12950
Viren gefunden: 1
Infizierte Objekte gefunden: 1 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:06:23

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{35D69D3B-153B-465A-A236-2AA46F2C78E5}.crmlog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\brvelakq.dll Infizierte Objekte: Packed.Win32.Klone.k übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Arslan\LOKALE~1\Temp\hsperfdata_Arslan\3400 Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Arslan\LOKALE~1\Temp\~DF1156.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Arslan\LOKALE~1\Temp\~DFA02B.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Arslan\LOKALE~1\Temp\~DFFDC2.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

der letzte Teil:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 27. September 2006 17:12:06
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 27/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 213574
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 46963
Viren gefunden: 4
Infizierte Objekte gefunden: 4 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:35:44

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\SpamKiller\Logs\Filtering.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee.com\Agent\Logs\TaskScheduler\McTskshd001.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Confid.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Content.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Privacy.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Restrict.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\WebHist.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\59D636DB.exe Infizierte Objekte: Backdoor.Win32.IRCBot.dd übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5B8806FD.dll Infizierte Objekte: not-virus:Hoax.Win32.Renos.ds übersprungen
C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\udlog.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Opera\Opera\mail\indexer\indexer.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Opera\Opera\mail\indexer\indexer_64.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Opera\Opera\mail\lexicon\lexicon.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\Opera\Opera\mail\mailbase.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\SunEventsData.sdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\hsperfdata_Arslan\3400 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\~DF1156.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\~DFA02B.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temp\~DFFDC2.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006092720060928\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Arslan\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\VundoFix Backups\winrkp32.dll.bad Infizierte Objekte: Packed.Win32.Klone.g übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{35D69D3B-153B-465A-A236-2AA46F2C78E5}.crmlog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\brvelakq.dll Infizierte Objekte: Packed.Win32.Klone.k übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Dieser Beitrag wurde am 27.09.2006 um 17:15 Uhr von Karlsruhe editiert.
Seitenanfang Seitenende
28.09.2006, 11:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Karlsruhe

0.
leere den papierkorb

1.
avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\59D636DB.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5B8806FD.dll
C:\WINDOWS\system32\brvelakq.dll
C:\VundoFix Backups\winrkp32.dll.bad
C:\RECYCLER\S-1-5-21-419839810-2869165269-1843787200-1005\Dc4.zip
2.
loesche: C:\Avenger\backup.zip

3.
scane noch mal mit dr.web und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 12:05
Member

Themenstarter

Beiträge: 17
#13 Hallo Sabina mein Rechner fährt zwar richtig hoch aber die Elemente auf dem Desktop tauchen viel zu spät auf, liegt das am Virus oder kann ich dies durch eine Einstellung beheben.

Ergebnis von Avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\um^onpnw

*******************

Script file located at: \??\C:\jdaffvmh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\brvelakq.dll deleted successfully.
File C:\VundoFix Backups\winrkp32.dll.bad deleted successfully.


File C:\RECYCLER\S-1-5-21-419839810-2869165269-1843787200-1005\Dc4.zip not found!
Deletion of file C:\RECYCLER\S-1-5-21-419839810-2869165269-1843787200-1005\Dc4.zip failed!

Could not process line:
C:\RECYCLER\S-1-5-21-419839810-2869165269-1843787200-1005\Dc4.zip
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
28.09.2006, 12:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ««
loesche: C:\Avenger\backup.zip

««
scane noch mal mit dr.web und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 13:14
Member

Themenstarter

Beiträge: 17
#15 Dr. web Report

Silent Runners.vbs;C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\silent runner;möglicherweise BATCH.Virus;;
Process.exe;C:\Dokumente und Einstellungen\Arslan\Desktop\Alert\SmitfraudFix\SmitfraudFix;Tool.Prockill;;
Seitenanfang Seitenende