Critical System Error Bitte Anleitung FÜr AnfÄnger!!!

#0
06.10.2006, 14:34
Member

Beiträge: 12
#1 Hallo Sabina,

so ich hoffe jetzt habe ich alles richtig eingerichtet und du kannst mir helfen. Vielen Dank schon mal im Voraus.

Gruß
Seitenanfang Seitenende
06.10.2006, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 wenn du was nicht verstehst, dann frag ;)

Zitat

Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2006, 18:09
Member

Themenstarter

Beiträge: 12
#3 Hey Sabina,

sorry, dass es solange gedauert hat. Bin gerade erst nachhause gekommen. Hier mein Log File.



Logfile of HijackThis v1.99.1
Scan saved at 17:26:22, on 07.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\etMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
c:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tenpornmovies.com/ to verify your age, REQUIRED! WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point! Are you at least 18 years old
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: (no name) - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [etMonitor] C:\WINDOWS\etMon.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar4.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar4.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar4.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar4.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar4.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_24.cab
O20 - AppInit_DLLs: pushow74.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll (file missing)
O21 - SSODL: died - {7fa55359-7223-410f-bc82-efb3e3ded07f} - (no file)
O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - C:\WINDOWS\system32\gqagksr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Programme\Norton AntiVirus\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)


Anschließend habe ich das mit dem Clean up und combofix gemacht.

Hier der scan von combofix:



HP_Besitzer - 06-10-07 17:45:24,71 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\"

((((((((((((((((((((((((((((((( Files Created from 2006-09-07 to 2006-10-07 ))))))))))))))))))))))))))))))))))


2006-10-07 17:44 276,526 --a------ C:\combofix.exe
2006-10-07 17:31 339,257 --a------ C:\CleanUp452(2).exe
2006-10-07 17:04 16,896 -ra------ C:\WINDOWS\system32\avmprmon.dll
2006-10-07 17:02 367,104 --a------ C:\WINDOWS\system32\drivers\Netfwdsl.sys
2006-10-07 17:02 28,160 --a------ C:\WINDOWS\system32\drivers\Aadev.sys
2006-10-07 17:02 11,264 --a------ C:\WINDOWS\system32\drivers\NETDSL.SYS
2006-10-05 23:43 2,538,224 --a------ C:\WindowsXP-KB909095-x86-DEU.exe
2006-10-05 23:42 1,418,032 --a------ C:\GenuineCheck.exe
2006-10-05 23:40 855,856 --a------ C:\WGAPluginInstall.exe
2006-10-05 23:37 3,863,976 --a------ C:\Windows-KB890830-V1.20.exe
2006-10-05 23:07 385,024 --a------ C:\WINDOWS\system32\IKAutoUp.exe
2006-10-05 23:05 24,504,832 --a------ C:\dn060123.exe
2006-10-04 22:13 3,889,528 --a------ C:\Free-Spyware-Scanner-Install.exe
2006-10-04 21:46 339,257 --a------ C:\CleanUp452.exe
2006-10-04 20:17 37,731,838 --a------ C:\Setup.exe
2006-10-03 12:22 13,409,832 --a------ C:\antivir_workstation_win7u_de_h.exe
2006-10-03 11:54 2,792,262 --a------ C:\vb_distrib.exe
2006-10-02 23:31 147,456 --a------ C:\WINDOWS\system32\gqagksr.dll
2006-10-01 19:32 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-09 17:05 55,808 -ra------ C:\WINDOWS\system32\avmadd32.dll
2006-09-09 17:05 31,232 --a------ C:\WINDOWS\system32\i2errDeu.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-07 17:44 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-07 17:31 -------- d-------- C:\Programme\Enigma Software Group
2006-10-07 17:31 -------- d-------- C:\Programme\CleanUp!
2006-10-07 17:04 -------- d-------- C:\Programme\FRITZ!BoxPrint
2006-10-07 17:03 -------- d-------- C:\Programme\FRITZ!Box
2006-10-07 17:02 -------- d-------- C:\Programme\Gemeinsame Dateien\AVM
2006-10-07 17:02 -------- d-------- C:\Programme\FRITZ!DSL
2006-10-06 15:15 -------- d-------- C:\Programme\eMule
2006-10-04 21:30 -------- d-------- C:\Programme\VirusBurster
2006-10-04 21:24 -------- d-------- C:\Programme\Symantec
2006-10-04 21:24 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-04 21:21 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-10-04 20:13 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Skype
2006-10-04 19:56 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-04 10:34 -------- d-------- C:\Programme\X Password Generator
2006-10-03 12:26 -------- d-------- C:\Programme\PCODEC
2006-10-01 21:41 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-10-01 21:34 -------- d-------- C:\Programme\Nero
2006-10-01 19:39 -------- d-------- C:\Programme\WinRAR
2006-10-01 19:38 -------- d-------- C:\Programme\eMule.de
2006-10-01 19:37 -------- d-------- C:\Programme\PC-Doctor 5 for Windows
2006-10-01 19:37 -------- d-------- C:\Programme\Microsoft Works
2006-10-01 19:33 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-10-01 19:31 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-01 17:12 -------- d-------- C:\Programme\HQvideo
2006-09-28 11:49 -------- d-------- C:\Programme\LimeWire
2006-09-25 18:14 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-12 14:50 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FRITZ!
2006-09-11 21:04 -------- d-------- C:\Programme\GanymedeNet
2006-09-09 18:27 840 --a------ C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2006-09-09 16:44 -------- d---s---- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft
2006-08-20 17:25 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FxFotoDB
2006-08-13 01:19 327 --a------ C:\WINDOWS\system32\diiqfxlx.exe
2006-08-09 02:38 16384 --a------ C:\WINDOWS\system32\ac3config.exe
2006-08-07 19:21 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-08-07 19:09 96256 --a------ C:\WINDOWS\system32\drivers\sptd8269.sys
2006-08-07 19:09 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNRecode.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroVision.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroShowTime.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroMediaHome.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroBackItUp.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"
"HPHUPD08"="c:\\Programme\\HP\\Digital Imaging\\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\\hphupd08.exe"
"KBD"="C:\\HP\\KBD\\KBD.EXE"
"etMonitor"="C:\\WINDOWS\\etMon.exe"
@=""
"Recguard"="C:\\WINDOWS\\SMINST\\RECGUARD.EXE"
"PS2"="C:\\WINDOWS\\system32\\ps2.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"died"="{7fa55359-7223-410f-bc82-efb3e3ded07f}"
"hydrodictyon"="{b166be07-30a4-4d38-b781-44528a630706}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"Reminder"="\"C:\\Windows\\Creator\\Remind_XP.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_05\\bin\\jusched.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPwuSchd2.exe"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"AlcxMonitor"="ALCXMNTR.EXE"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Einfache Internetanmeldung.job
C:\WINDOWS\tasks\HPCeeSchedule.job

Completion time: 07.10.2006 17:46:21.31
ComboFix.txt


Hier die letzten drei Monate vom Schritt nr. 4




System32.txt

Datentr„ger in Laufwerk C: ist HP_PAVILION
Volumeseriennummer: 6CFF-A382

Verzeichnis von C:\WINDOWS\system32

05.10.2006 23:42 1.158 wpa.dbl
05.10.2006 23:07 21 IKAutoUp.log
02.10.2006 23:31 147.456 gqagksr.dll
11.09.2006 10:37 8.960.936 MRT.exe
05.09.2006 15:47 24.072 uxtuneup.dll
13.08.2006 01:19 4 winsub.xml
13.08.2006 01:19 62 svcp.csv
13.08.2006 01:19 327 diiqfxlx.exe
09.08.2006 02:38 516.096 ac3filter.ax
09.08.2006 02:38 16.384 ac3config.exe
19.07.2006 19:16 8 nti2.trk
12.07.2006 16:47 100 LuResult.txt
10.07.2006 21:08 4 proc1395793746.bin
10.07.2006 01:51 381.828 perfh009.dat
10.07.2006 01:51 53.572 perfc009.dat
10.07.2006 01:51 392.842 perfh007.dat
10.07.2006 01:51 64.650 perfc007.dat
10.07.2006 01:51 902.476 PerfStringBackup.INI
09.07.2006 22:03 166.712 FNTCACHE.DAT
09.07.2006 21:24 1.063 $winnt$.inf
03.07.2006 23:40 778.240 divx_xx07.dll
03.07.2006 23:40 778.240 divx_xx0c.dll
03.07.2006 23:40 761.856 divx_xx11.dll
03.07.2006 23:40 620.180 DivX.dll
27.06.2006 03:28 704.512 divxdec.ax
21.06.2006 21:44 108.544 pxcpyi64.exe
21.06.2006 21:44 109.568 pxinsi64.exe
21.06.2006 21:44 56.832 pxcpya64.exe
21.06.2006 21:44 61.440 pxhpinst.exe
21.06.2006 21:44 56.320 pxinsa64.exe
21.06.2006 21:41 352.401 DivXMedia.ax
21.06.2006 12:49 53.248 dpuGUI10.dll
21.06.2006 12:43 4.276 divxsm.tlb
21.06.2006 12:43 520.192 DivXsm.exe
21.06.2006 12:43 10.863 dsm_ja.qm
21.06.2006 12:43 15.507 dsm_de.qm
21.06.2006 12:43 15.299 dsm_fr.qm
21.06.2006 12:43 3.596.288 qt-dx331.dll
21.06.2006 12:42 1.044.480 libdivx.dll
21.06.2006 12:42 200.704 ssldivx.dll
21.06.2006 12:34 90.112 dpl100.dll
21.06.2006 12:34 593.920 dpuGUI11.dll
21.06.2006 12:34 200.704 dtu100.dll
21.06.2006 12:34 344.064 dpus11.dll
21.06.2006 12:34 57.344 dpv11.dll
21.06.2006 12:34 294.912 dpu11.dll
21.06.2006 12:34 294.912 dpu10.dll
21.06.2006 12:33 12.288 DivXWMPExtType.dll
21.06.2006 12:33 118.784 DivXCodecUpdateChecker.exe
21.06.2006 12:33 8.523 dpude.qm
21.06.2006 12:33 3.136 dtu_de.qm


systemtemp.txt

Datentr„ger in Laufwerk C: ist HP_PAVILION
Volumeseriennummer: 6CFF-A382

Verzeichnis von C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp

07.10.2006 17:41 3.928 hpodvd09.log
07.10.2006 17:41 0 _hphtra07.log
2 Datei(en) 3.928 Bytes
0 Verzeichnis(se), 69.633.912.832 Bytes frei


windows.txt

Datentr„ger in Laufwerk C: ist HP_PAVILION
Volumeseriennummer: 6CFF-A382

Verzeichnis von C:\WINDOWS

07.10.2006 17:41 448.294 WindowsUpdate.log
07.10.2006 17:37 0 0.log
07.10.2006 17:37 159 wiadebug.log
07.10.2006 17:37 50 wiaservc.log
07.10.2006 17:36 2.048 bootstat.dat
07.10.2006 17:04 2.410 avmadd32.log
07.10.2006 17:04 734.951 setupapi.log
07.10.2006 16:59 248 accessdll.log
07.10.2006 16:53 32.598 SchedLgU.Txt
07.10.2006 02:34 3.295 cdplayer.ini
05.10.2006 23:46 22.076 iis6.log
05.10.2006 23:46 60.518 comsetup.log
05.10.2006 23:46 35.889 ntdtcsetup.log
05.10.2006 23:46 63.584 tsoc.log
05.10.2006 23:46 1.374 imsins.log
05.10.2006 23:46 8.610 ocmsn.log
05.10.2006 23:46 4.739 KB909095.log
05.10.2006 23:46 87.296 ocgen.log
05.10.2006 23:46 7.928 msgsocm.log
05.10.2006 23:46 167.626 FaxSetup.log
04.10.2006 16:25 202 NeroDigital.ini
01.10.2006 21:34 26.719 DirectX.log
29.09.2006 12:59 4.244 ModemLog_Agere Systems PCI Soft Modem.txt
28.09.2006 12:12 49.606 wmsetup.log
28.09.2006 12:12 460 wmsetup10.log
27.09.2006 23:56 1.519 OEWABLog.txt
25.09.2006 18:21 237.970 setupact.log
09.09.2006 17:06 105 avmsysnet.log
09.09.2006 17:06 74.962 _detmp.1
09.09.2006 17:04 320 accessdll1.log
27.08.2006 08:17 816 KB891122.log
06.08.2006 18:44 0 Irremote.ini
06.08.2006 11:50 6.099 AV Burning Studio Uninstall Log.txt
06.08.2006 00:07 3.461 mozver.dat
19.07.2006 19:17 15.571 AV Burning Studio Setup Log.txt
15.07.2006 14:55 113.695 hpoins07.dat
15.07.2006 14:54 567 win.ini
14.07.2006 17:29 966.656 UNNeroBackItUp.exe
14.07.2006 17:29 966.656 UNRecode.exe
14.07.2006 17:29 966.656 UNNeroMediaHome.exe
14.07.2006 17:29 966.656 UNNeroVision.exe
14.07.2006 17:29 966.656 UNNeroShowTime.exe
14.07.2006 16:56 37.089 unvpeye.ini
11.07.2006 19:48 231 SYSTEM.INI
11.07.2006 19:47 1.374 imsins.BAK
11.07.2006 19:47 13.758 KB893803v2.log
10.07.2006 21:11 168 datazy.log
10.07.2006 01:52 17.570 WINNT32.LOG
10.07.2006 01:52 254 UPGRADE.TXT
10.07.2006 01:52 31.531 wsdu.log
10.07.2006 01:51 356 DHCPUPG.LOG
09.07.2006 22:46 2.904 COM+.log
09.07.2006 22:04 231 SYSTEM.UNV
09.07.2006 21:24 432 setuperr.log
09.07.2006 21:21 9.708 regopt.log
09.07.2006 21:08 2.741 sessmgr.setup.log
09.07.2006 21:08 641 DtcInstall.log


temp.txt

Datentr„ger in Laufwerk C: ist HP_PAVILION
Volumeseriennummer: 6CFF-A382

Verzeichnis von C:\WINDOWS\Temp



down.txt

Datentr„ger in Laufwerk C: ist HP_PAVILION
Volumeseriennummer: 6CFF-A382

Verzeichnis von C:\WINDOWS\Downloaded Program Files

29.05.2006 11:33 526.104 Mahjong.dll
24.05.2006 20:09 243 Mahjong.inf
27.03.2006 13:00 5.019 swflash.inf
02.03.2006 15:40 1.271 erma.inf
03.11.2004 03:04 65 desktop.ini
28.07.2004 00:48 323.584 isusweb.dll
30.06.2003 22:41 1.689 WMV9VCM.inf
26.07.2002 02:13 24.576 dwusplay.dll
26.07.2002 02:13 196.608 dwusplay.exe
9 Datei(en) 1.079.159 Bytes
0 Verzeichnis(se), 69.633.871.872 Bytes frei



c.txt

Datentr„ger in Laufwerk C: ist HP_PAVILION
Volumeseriennummer: 6CFF-A382

Verzeichnis von C:\

07.10.2006 18:07 0 sys.txt
07.10.2006 18:06 685 down.txt
07.10.2006 18:05 115 tmp.txt
07.10.2006 18:04 8.245 system.txt
07.10.2006 18:03 345 systemtemp.txt
07.10.2006 17:58 97.935 system32.txt
07.10.2006 17:58 289 datFind.zip
07.10.2006 17:46 8.949 ComboFix.txt
07.10.2006 17:44 276.526 combofix.exe
07.10.2006 17:36 468.242.432 hiberfil.sys
07.10.2006 17:36 704.643.072 pagefile.sys
07.10.2006 17:31 339.257 CleanUp452(2).exe
07.10.2006 17:25 212.849 hijackthis.zip
05.10.2006 23:43 2.538.224 WindowsXP-KB909095-x86-DEU.exe
05.10.2006 23:42 1.418.032 GenuineCheck.exe
05.10.2006 23:40 855.856 WGAPluginInstall.exe
05.10.2006 23:38 3.863.976 Windows-KB890830-V1.20.exe
05.10.2006 23:06 24.504.832 dn060123.exe
04.10.2006 22:13 3.889.528 Free-Spyware-Scanner-Install.exe
04.10.2006 22:03 358.545 RegSeeker.zip
04.10.2006 21:46 339.257 CleanUp452.exe
04.10.2006 21:46 69.852.853 mavsp.ddl.rar
04.10.2006 20:32 29.932.475 mavsp.ddl(2).rar.part
04.10.2006 20:16 37.353.004 NAV2007.rar
04.10.2006 19:18 95.457.283 Norton_AntiVirus_2006_German_ISO-NEON.rar
04.10.2006 18:59 273.444 Nero.7.Vorlagen.ddl.rar
03.10.2006 12:22 13.409.832 antivir_workstation_win7u_de_h.exe
03.10.2006 11:53 2.792.262 vb_distrib.exe
24.09.2006 15:37 72.773 debug.log
11.07.2006 19:49 8.554 caisslog.txt
11.07.2006 13:55 1.531 DDL-Warez.nfo
10.07.2006 19:35 340 ICQLite.log
10.07.2006 02:07 7.392 caavsetup.log
10.07.2006 01:52 295 boot.ini
25.06.2006 07:34 37.731.838 Setup.exe
25.06.2006 07:30 657 Readme.txt
25.06.2006 07:28 2.503 Help.txt
15.06.2006 18:56 272.015 Nero.7.Premium.v7.2.03b.Keygen.by.DVT.rar
04.06.2006 07:34 162.396.160 Norton_AntiVirus_2006_ISO-NEON.iso
04.06.2006 07:29 377 ANLEITUNG.txt
Seitenanfang Seitenende
07.10.2006, 18:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 sylviawesel

mit keygens verseucht/zerstoert man sich in der Regel den Rechner - nur als Hinweis !
Nero.7.Premium.v7.2.03b.Keygen.by
ººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººº

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_CURRENT_USER\Software\PCODEC
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\X Password Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C17EB50A-667E-43B4-A53E-5B73F46AA009}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{728E63B0-5165-4E98-9C83-EF987EEB66C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A569F6C9-29F0-43BC-80CF-6BA138C66108}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b166be07-30a4-4d38-b781-44528a630706}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fe2d25c1-c1db-4b5e-9390-af1cb5302f32}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{860c2f6b-ca82-4282-9187-beccbb66f0af}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PCODEC

Files to delete:
C:\WINDOWS\system32\gqagksr.dll
C:\WINDOWS\system32\pushow74.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\diiqfxlx.exe

Folders to delete:
C:\Programme\VirusBurster
C:\Programme\X Password Generator
C:\Programme\PCODEC
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


**
scanne und poste die scanreporte von option 1 und 2
http://virus-protect.org/artikel/tools/smitfrautfix.html

**

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tenpornmovies.com/ to verify your age, REQUIRED! WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point! Are you at least 18 years old

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: (no name) - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)

O20 - AppInit_DLLs: pushow74.dll
O21 - SSODL: died - {7fa55359-7223-410f-bc82-efb3e3ded07f} - (no file)
O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - C:\WINDOWS\system32\gqagksr.dll


PC neustarten

**
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip

**
scanne, loesche alles und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2006, 18:47
Member

Themenstarter

Beiträge: 12
#5 Scanreport Nr. 1

SmitFraudFix v2.105

Scan done at 18:29:35,17, 07.10.2006
Run from C:\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\HP_Besitzer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\HP_Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\HQvideo\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="pushow74.dll"


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End




Scanreport Nr. 2

SmitFraudFix v2.105

Scan done at 18:34:47,09, 07.10.2006
Run from C:\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Programme\HQvideo\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Bin jetzt bei diesem Schritt:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Nur ne ganz blöde Frage. Hab es jetzt gescannt. Setze ich vor alle ein Häckchen oder nur unter die du mir unter "Zitat" genannant hast???

Folgende kann ich nämlich nicht finden bzw. sind nicht da:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tenpornmovies.com/ to verify your age, REQUIRED! WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point! Are you at least 18 years old

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: (no name) - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)

O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)

O21 - SSODL: died - {7fa55359-7223-410f-bc82-efb3e3ded07f} - (no file)

O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - C:\WINDOWS\system32\gqagksr.dll
Seitenanfang Seitenende
07.10.2006, 18:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 setze ein Haekchen nur, vor was auch vorhanden ist (von meinen Vorgaben) - nichts anderes !

dann scanne mit ewido und poste den report

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tenpornmovies.com/ to verify your age, REQUIRED! WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point! Are you at least 18 years old

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: (no name) - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)

O20 - AppInit_DLLs: pushow74.dll
O21 - SSODL: died - {7fa55359-7223-410f-bc82-efb3e3ded07f} - (no file)
O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - C:\WINDOWS\system32\gqagksr.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2006, 19:05
Member

Themenstarter

Beiträge: 12
#7 Ok bin gerade mit Ewido am scannen. Der Report kommt gleich.

Soll ich diese Aktionen jetzt auch durchfürhen?? oder erst nach dem Scan ??

(**
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip)

Dieses Schei... Fragezeichen dass unten links in der Leiste immer aufgeblinkt hat, ist übrigens weg :-)
Seitenanfang Seitenende
07.10.2006, 19:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 stelle erst eine neue startseite ein, und loesche das backup vom avenger - dann scanne mit ewido ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2006, 20:13
Member

Themenstarter

Beiträge: 12
#9 Hier kommt der Bericht. Endlich fertig!!!



Gehts noch weiter ??? Hab vergessen die zu löschen. Ich lösche die jetzt ja, ne?? Kommt dann ein neuer Bericht??


So die sind jetzt gelöscht. Bericht folgt:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 20:11:50 07.10.2006

+ Scan-Ergebnis:



HKU\S-1-5-21-1760843103-3964233501-3887610147-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5} -> Adware.Generic : Gesäubert.
HKU\S-1-5-21-1760843103-3964233501-3887610147-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE2D25C1-C1DB-4B5E-9390-AF1CB5302F32} -> Adware.Generic : Gesäubert.
HKU\S-1-5-21-1760843103-3964233501-3887610147-1008\Software\IST -> Adware.ISTBar : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049794.dll -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049796.exe -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049806.dll -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049808.exe -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049817.dll -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049818.exe -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049828.dll -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP73\A0049830.exe -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP74\A0050830.exe -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP74\A0050850.exe -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP74\A0050851.dll -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP74\A0050856.dll -> Downloader.Zlob.anu : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP78\A0055222.exe -> Not-A-Virus.Hoax.Win32.Renos.fh : Gesäubert.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP78\A0055225.exe -> Not-A-Virus.Hoax.Win32.Renos.fh : Gesäubert.
:mozilla.27:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.28:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.29:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.10:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.11:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.34:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.35:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.36:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.9:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.28:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.29:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.30:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.31:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.32:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.33:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.27:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.14:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.16:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.17:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.18:C:\Dokumente und Einstellungen\Natalie\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
HKU\S-1-5-21-1760843103-3964233501-3887610147-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E14DCE67-8FB7-4721-8149-179BAA4D792C} -> Trojan.Ciadoor.m : Gesäubert.
C:\WINDOWS\system32\wtpzt.exe -> Trojan.DNSChanger.es : Gesäubert.


::Berichtende


So und gibt es jetzt noch einen Schritt?
Seitenanfang Seitenende
08.10.2006, 10:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

2.
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 11:37
Member

Themenstarter

Beiträge: 12
#11 Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.



--------------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 11:37:01, on 08.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\etMon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
c:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [etMonitor] C:\WINDOWS\etMon.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar4.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar4.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar4.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar4.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar4.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_24.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Programme\Norton AntiVirus\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
Seitenanfang Seitenende
08.10.2006, 11:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 mache einen Onlinescan mit panda und einen mit kaspersky und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 12:28
Member

Themenstarter

Beiträge: 12
#13 Hey,

der fängt mit beiden Scans gar nicht erst an. Ich klicke drauf und es passiert nichts. Ich habe schon die Popupblocker deaktiviert, die Seiten, die mir gezeigt wurden, als vertrauenswürdige Seiten eingestuft.

Rechts steht ja etwas vom löschen in der Registry. Wie komme ich da hin um das zu löschen???
Seitenanfang Seitenende
08.10.2006, 12:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

Sabina postete
Download und auf dem Desktop entzippen: http://www.fbeej.dk/Programmer/iereg.zip
Klicke: iereg bat
PC neustarte nund pruefen, ob der IE korrekt funktioniert
und noch mal die scanns versuchen

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 15:50
Member

Themenstarter

Beiträge: 12
#15 Hier der Report vom Panda:



Incident Status Location

Virus:trj/abwiz.a Disinfected Operating system
Adware:adware/safetybar Not disinfected c:\dokumente und einstellungen\all users\desktop\Online Security Guide.url
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4peq4bg7.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\HP_Besitzer\Cookies\hp_besitzer@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\HP_Besitzer\Cookies\hp_besitzer@atdmt[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\HP_Besitzer\Cookies\hp_besitzer@doubleclick[1].txt
Potentially unwanted tool:Application/VirusBurst Not disinfected C:\Dokumente und Einstellungen\Natalie\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\Cache\272F9E08d01[VirusBurster.exe]
Potentially unwanted tool:Application/VirusBurst Not disinfected C:\Dokumente und Einstellungen\Natalie\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3k61c665.default\Cache\82F69260d01
Potentially unwanted tool:Application/KillApp.B Not disinfected C:\hp\bin\KillIt.exe
Spyware:Spyware/Overpro Not disinfected C:\Programme\247Cams\Camnotifier.exe
Potentially unwanted tool:Application/MediaPipe Not disinfected C:\Programme\247Cams\insdl.dll
Potentially unwanted tool:Application/Processor Not disinfected C:\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/VirusBurst Not disinfected C:\vb_distrib.exe



Kasperksy ist fertig und das Fenster hat cih einfach geschlossen. Wo finde ich denn jetzt den Report??? Ich wurde auch nicht danach gefragt, ob ich den Report irgendwo speichern möchte
Seitenanfang Seitenende