Home » Viren, Trojaner & Malware Forum » verschiedene viren. ismini, ishost, winantivir » Themenansicht
verschiedene viren. ismini, ishost, winantivir |
||
|---|---|---|
| #0
| ||
|
06.10.2006, 22:13
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
08.10.2006, 12:10
Ehrenmitglied
 Beiträge: 29434 |
#2
Fluchtzwerg
0. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken Zitat REGEDIT41. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint ** FIXE, falls es noch vorhanden ist: öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87B5A75402036C4 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll______ ««« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html ** Klicke: Start -Ausfuehren- schreib rein: cmd dann kopiere in das schwarze DOS-Fenster: del %windir%\temp\*.* /f klicke "enter" schreibe Y ____________________ «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.10.2006, 15:20
...neu hier
Themenstarter Beiträge: 4 |
#3
Hier der text vom avenger. Hat mir einige Fehlermeldungen angezeigt, weiss aber nicht was es bedeuten soll.
////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51} Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\awbdmfaf ******************* Script file located at: \??\C:\Program Files\elkcgheh.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\028c6cac.exe deleted successfully. File C:\WINDOWS\system32\ishost.exe not found! Deletion of file C:\WINDOWS\system32\ishost.exe failed! Could not process line: C:\WINDOWS\system32\ishost.exe Status: 0xc0000034 File C:\WINDOWS\system32\ismini.exe not found! Deletion of file C:\WINDOWS\system32\ismini.exe failed! Could not process line: C:\WINDOWS\system32\ismini.exe Status: 0xc0000034 File C:\WINDOWS\system32\adjwldwb.dll deleted successfully. File C:\WINDOWS\system32\pcwjuxsh.dll deleted successfully. File C:\WINDOWS\system32\jibmsvku.dll deleted successfully. File C:\WINDOWS\system32\wmlmvhki.exe deleted successfully. File C:\WINDOWS\system32\winubg32.dll deleted successfully. File C:\WINDOWS\system\tfpabk.dll deleted successfully. File C:\WINDOWS\system32\028c6cac.exe deleted successfully. Folder C:\WINDOWS\system32\components not found! Deletion of folder C:\WINDOWS\system32\components failed! Could not process line: C:\WINDOWS\system32\components Status: 0xc0000034 Folder C:\Programme\Zango deleted successfully. Folder C:\Programme\VSToolbar deleted successfully. Folder C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\SearchToolbarCorp deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9F12A26-A38C-4A4A-8D3C-D1D0968E1F15} not found! Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9F12A26-A38C-4A4A-8D3C-D1D0968E1F15} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{849B9523-785F-4014-9CAF-079FB4A74C61} deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Classes\{C9F12A26-A38C-4A4A-8D3C-D1D0968E1F15} not found! Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\{C9F12A26-A38C-4A4A-8D3C-D1D0968E1F15} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\Software\Classes\{849B9523-785F-4014-9CAF-079FB4A74C61} not found! Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\{849B9523-785F-4014-9CAF-079FB4A74C61} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tfpabk deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winubg32 deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51} deleted successfully. Completed script processing. ******************* Finished! Terminate. so und nun hier ,dass was mir datfind.bat ausgegeben hat: 1. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 283E-D84A Verzeichnis von C:\WINDOWS\system32 09.10.2006 12:03 2.206 wpa.dbl 03.10.2006 22:31 143 mcrh.tmp 05.05.2006 18:24 165.912 FNTCACHE.DAT 20.04.2006 18:20 380.350 perfh009.dat 20.04.2006 18:20 391.000 perfh007.dat 20.04.2006 18:20 52.764 perfc009.dat 20.04.2006 18:20 63.580 perfc007.dat 20.04.2006 18:20 895.600 PerfStringBackup.INI 11.04.2006 16:05 2.496 MSCOMCTL.DEP 11.04.2006 16:05 88.576 msdxm.oca 11.04.2006 16:05 2.408 MSINET.DEP 11.04.2006 16:05 203.976 RICHTX32.OCX 11.04.2006 16:05 4.648.960 JAMktSetup_uninstall.exe 04.04.2006 15:05 1.919 AUTOEXEC.NT 31.03.2006 12:40 2.388.176 d3dx9_30.dll 11.02.2006 19:31 2.368 STEC3.sys 2. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 283E-D84A Verzeichnis von C:\DOKUME~1\Sven\LOKALE~1\Temp 09.10.2006 15:38 1.342 MARD.tmp 09.10.2006 15:38 1.285 MARE.tmp 09.10.2006 15:38 16.384 ~DF1F99.tmp 09.10.2006 15:38 512 ~DF1B13.tmp 09.10.2006 15:38 16.384 ~DF1B08.tmp 09.10.2006 15:38 16.384 ~DFA624.tmp 09.10.2006 15:38 408 WCESCOMM.LOG 09.10.2006 15:37 21.629 hpodvd09.log 09.10.2006 15:33 16.384 ~DF416E.tmp 09.10.2006 15:33 16.384 ~DF33B4.tmp 07.10.2006 12:56 315.651 linksts.mlg 11 Datei(en) 422.747 Bytes 0 Verzeichnis(se), 427.102.208 Bytes frei 3. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 283E-D84A Verzeichnis von C:\WINDOWS 09.10.2006 15:38 461.932 WindowsUpdate.log 09.10.2006 15:33 0 0.log 09.10.2006 15:33 159 wiadebug.log 09.10.2006 15:32 50 wiaservc.log 09.10.2006 15:32 2.048 bootstat.dat 09.10.2006 15:31 32.642 SchedLgU.Txt 09.10.2006 12:19 49 NeroDigital.ini 09.10.2006 12:05 12.802 setupapi.log 06.10.2006 22:27 1.311 win.ini 06.10.2006 22:27 246 system.ini 06.10.2006 15:47 54.156 QTFont.qfn 18.08.2006 00:04 1.409 QTFont.for 17.08.2006 15:19 23 BlendSettings.ini 17.07.2006 17:58 137 uno.ini 25.05.2006 01:22 53.248 bdoscandel.exe 4. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 283E-D84A Verzeichnis von C:\WINDOWS\Temp 5. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 283E-D84A Verzeichnis von C:\WINDOWS\Downloaded Program Files 01.06.2006 02:57 1.331 oscan8.inf 01.06.2006 02:54 471.040 oscan8.ocx 31.05.2006 04:15 10 oscan81.ocx_x 18.04.2006 15:59 1.173.616 ClientAX.dll 25.05.2005 19:47 65 desktop.ini 09.03.2005 15:44 7.276 scanoptions.tsi 09.03.2005 15:34 7.225 lang.ini 6. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 283E-D84A Verzeichnis von C:\ 09.10.2006 15:52 0 sys.txt 09.10.2006 15:50 969 down.txt 09.10.2006 15:50 117 tmp.txt 09.10.2006 15:48 5.991 system.txt 09.10.2006 15:47 777 systemtemp.txt 09.10.2006 15:43 101.198 system32.txt 09.10.2006 15:32 805.306.368 pagefile.sys 09.10.2006 15:20 7.654 avenger.txt 07.10.2006 11:59 6.866 ComboFix.txt 06.10.2006 22:27 211 boot.ini Nun hoffe ich, Ich konnte weiter helfen und bedanke mich jetzt schon für diese wirklich wunderbare hilfe! Dieser Beitrag wurde am 09.10.2006 um 15:50 Uhr von Fluchtzwerg editiert.
|
|
|
|
|
|
|
09.10.2006, 16:01
Ehrenmitglied
Beiträge: 29434 |
#4
Fluchtzwerg
Avenger Zitat Files to delete:** loesche die backups vom Avenger unter C:\Avenger\backup.zip ** scanne, loesche alles an Viren und poste den report http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.10.2006, 19:03
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina
So hier der report vom avenger: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\qmmukomu ******************* Script file located at: \??\C:\Program Files\yetecmfq.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\mcrh.tmp deleted successfully. File C:\WINDOWS\Downloaded Program Files\ClientAX.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
|
|
|
|
09.10.2006, 19:42
Ehrenmitglied
Beiträge: 29434 |
#6
**
loesche die backups vom Avenger unter C:\Avenger\backup.zip ** scanne, loesche alles an Viren und poste den report http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.10.2006, 19:50
...neu hier
Themenstarter Beiträge: 4 |
#7
So und nun hier der bericht von avg anti-spyware:
--------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 19:46:38 09.10.2006 + Scan-Ergebnis: C:\Programme\BearShare\BearShareZangoInstaller.exe/clientax.dll -> Adware.180Solutions : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0040021.exe -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller.1 -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CLSID -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CurVer -> Adware.180Solutions : Keine Aktion durchgeführt. HKU\S-1-5-21-1715567821-1004336348-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt. HKU\S-1-5-21-1715567821-1004336348-839522115-1003\Software\IST -> Adware.ISTBar : Keine Aktion durchgeführt. C:\Programme\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP240\A0039804.dll -> Adware.Softomate : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP240\A0039809.dll -> Adware.Virtumionde : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0040021.exe/Plugins\npclntax.dll -> Adware.Zango : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0040022.dll -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CLSID -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CurVer -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\zango -> Adware.Zango : Keine Aktion durchgeführt. HKU\S-1-5-21-1715567821-1004336348-839522115-1003\Software\zango -> Adware.Zango : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP240\A0039857.exe -> Downloader.Obfuscated.a : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP240\A0039893.exe -> Downloader.Obfuscated.a : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP240\A0039906.exe -> Downloader.Obfuscated.a : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0039989.exe -> Downloader.Obfuscated.a : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0040002.exe -> Downloader.Obfuscated.a : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0040012.exe -> Downloader.Obfuscated.a : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP240\A0039838.exe -> Downloader.Zlob.adn : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0040013.dll -> Logger.VBStat.e : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP242\A0040016.dll -> Logger.VBStat.e : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Sven\Cookies\sven@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Sven\Cookies\sven@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. C:\System Volume Information\_restore{A3593A8A-E964-43E9-974C-B6FA88477FC6}\RP240\A0039808.dll -> Trojan.BHO.g : Keine Aktion durchgeführt. ::Berichtende |
|
|
|
|
|
|
10.10.2006, 10:46
Ehrenmitglied
Beiträge: 29434 |
#8
Fluchtzwerg
0. Avenger Zitat Folders to delete:1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. Keine Aktion durchgeführt.  - man kann mit dem ewido loeschen, ist auf der Seite genau erklaert !4. aktiviere wieder die Systemwiederherstellung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich bin total neu hier und schon hilflos. Habe seit einiger zeit grosse Probleme mit Viren etc. habe mich ein wenig umgehört und festgestellt dass ich ziemlich krasse sachen aufm pc hab und hab jetzt natürlich den totalen schock bekommen. Habe mal bitdefender durchlaufen lassen aber er konnte einige nicht löschen. Darunter ismini, ishost und 028c6cac.exe. Ausserdem geht bei meinem internet explorer immer ein Fenster auf, von wegen winantivir2006 installieren. Zudem hab ich noch extrem viele kleine dinger die immer idd4d6.tmp oder so heissen und sich andauernd zu wort melden.Da ich solche Probleme noch nie hatte, weil ich immer dachte durch meine firewall(sygate) geschützt zu sein, wär es schön wenn sich jemand meiner sache annehmen könnte.
Ich muss hier leider noch anfügen, dass ich seit gestern auf einmal noch so ein gefaktes security warning zeichen in der taskleiste hab.
Hijack gibt mir folgendes aus:
Logfile of HijackThis v1.99.1
Scan saved at 11:45:28, on 07.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\Linksts.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\programme\zango\zango.exe
C:\WINDOWS\system32\028c6cac.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sven\Eigene Dateien\hijack\HijackThis.exe
C:\WINDOWS\TEMP\win1E0E.tmp.exe
C:\Dokumente und Einstellungen\Sven\Eigene Dateien\hijack\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87B5A75402036C4 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\jibmsvku.dll
O2 - BHO: (no name) - {C9F12A26-A38C-4A4A-8D3C-D1D0968E1F15} - C:\WINDOWS\system\tfpabk.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Programme\VSToolbar\VSToolBar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [028c6cac.exe] C:\WINDOWS\system32\028c6cac.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [028c6cac.exe] C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\028c6cac.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O20 - Winlogon Notify: tfpabk - C:\WINDOWS\system\tfpabk.dll
O20 - Winlogon Notify: winubg32 - C:\WINDOWS\SYSTEM32\winubg32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
so und combofix gibt mir nun dies hier aus:
Sven - 06-10-07 11:58:49,70 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Sven\Eigene Dateien\hijack"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\components
((((((((((((((((((((((((((((((( Files Created from 2006-09-07 to 2006-10-07 ))))))))))))))))))))))))))))))))))
2006-10-07 11:51 45,525 --a------ C:\WINDOWS\system32\adjwldwb.dll
2006-10-05 00:01 45,525 --a------ C:\WINDOWS\system32\pcwjuxsh.dll
2006-10-03 23:04 86,036 --a------ C:\WINDOWS\system32\jibmsvku.dll
2006-09-26 17:07 143,380 --a------ C:\WINDOWS\system32\wmlmvhki.exe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-10-07 11:57 -------- d-------- C:\Programme\Zango
2006-10-07 11:49 -------- d-------- C:\Programme\CleanUp!
2006-10-06 21:11 3017176 --a------ C:\Programme\WARCRAFT.3.THE.FROZEN.THRONE.V1.17.ENG.RELOADED.NOCD.ZIP
2006-10-06 21:11 -------- d-------- C:\Programme\Warcraft III
2006-09-26 17:07 -------- d-------- C:\Programme\VSToolbar
2006-09-26 17:07 -------- d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\SearchToolbarCorp
2006-09-25 19:55 -------- d-------- C:\Programme\easyFly
2006-09-22 19:36 -------- d-------- C:\Programme\ICQToolbar
2006-09-19 17:57 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-04 18:10 -------- d-------- C:\Programme\Yahoo!
2006-09-04 18:04 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-03 19:02 -------- d-------- C:\Programme\EA GAMES
2006-09-03 18:32 18944 --a------ C:\WINDOWS\system32\winubg32.dll
2006-09-03 18:32 13312 --a------ C:\WINDOWS\system32\028c6cac.exe
2006-08-18 13:30 -------- d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\HP
2006-08-18 00:18 -------- d-------- C:\Programme\QuickTime
2006-08-18 00:09 -------- d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Apple Computer
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"028c6cac.exe"="C:\\Dokumente und Einstellungen\\Sven\\Lokale Einstellungen\\Anwendungsdaten\\028c6cac.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ISDN Monitor"="Linksts.exe W 1024"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\Smc.exe -startgui"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"zango"="\"c:\\programme\\zango\\zango.exe\""
"028c6cac.exe"="C:\\WINDOWS\\system32\\028c6cac.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"ishost.exe"="ishost.exe"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tfpabk
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winubg32
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
Completion time: 07.10.2006 11:59:54.67
ComboFix.txt