Habe Problem mit Spyware

#0
09.10.2006, 10:03
...neu hier

Beiträge: 5
#1 seit Tagen öffnet sich bei mir Popups über irgendwelche Sachen (hauptsächlich Win Antivir).

Kann mir jemand helfen, das wieder weg zu bekommen?

Hier mein HjackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:00:57, on 09.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
E:\Fire Fox Download Manager\hijackthis\HijackThis.exe

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O3 - Toolbar: (no name) - {052b12f7-86fa-4921-8482-26c42316b522} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C73D99B-BE91-46A7-AD29-EDF2BF00D2D2}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


MfG
Danke im voraus
Seitenanfang Seitenende
09.10.2006, 10:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 22:44
...neu hier

Themenstarter

Beiträge: 5
#3 So ich habe das mit den bat Datein jetzt gemacht und Clean Up installiert. Soll ich Clean Up gleich starten oder erst nachdem jemand meine Logfiles durchgesehn hat.

Hier sind die Log Files:
c:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS

09.10.2006 22:08 0 0.log
09.10.2006 22:08 2.048 bootstat.dat
09.10.2006 10:05 32.552 SchedLgU.Txt
09.10.2006 10:05 133.843 WindowsUpdate.log
09.10.2006 00:15 25.039 wmsetup.log
07.10.2006 19:10 179.061 setupact.log
07.10.2006 19:09 197.526 ntbtlog.txt
07.10.2006 19:08 50 wiaservc.log
07.10.2006 19:08 216 wiadebug.log
07.10.2006 03:08 951 OEWABLog.txt
06.10.2006 23:34 628.395 setupapi.log
16.08.2006 23:16 460 ST6UNST.001
16.08.2006 23:16 73.216 ST6UNST.EXE
16.08.2006 23:16 337 ST6UNST.000
08.08.2006 20:19 142 WININIT.INI
31.07.2006 20:40 90.668 iis6.log
31.07.2006 20:40 20.307 comsetup.log
31.07.2006 20:40 11.609 ntdtcsetup.log
31.07.2006 20:40 4.696 imsins.log
31.07.2006 20:40 18.376 tsoc.log
31.07.2006 20:40 1.563 tabletoc.log
31.07.2006 20:40 2.694 MedCtrOC.log
31.07.2006 20:40 1.770 ocmsn.log
31.07.2006 20:40 29.070 ocgen.log
31.07.2006 20:40 1.742 msgsocm.log
31.07.2006 20:40 22.587 FaxSetup.log
31.07.2006 20:40 4.951 netfxocm.log
31.07.2006 20:39 19.770 msmqinst.log
31.07.2006 10:46 231 system.ini

Temp:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Temp

09.10.2006 22:12 1.166 winB8.tmp
09.10.2006 09:54 1.166 win31.tmp
09.10.2006 00:25 1.166 win6C.tmp
09.10.2006 00:21 13.080 idd58.tmp.exe
08.10.2006 23:59 13.080 idd57.tmp.exe
08.10.2006 23:40 13.080 idd3C.tmp.exe
08.10.2006 23:19 13.080 idd3B.tmp.exe
08.10.2006 22:58 13.080 idd3A.tmp.exe
08.10.2006 22:37 13.080 idd39.tmp.exe
08.10.2006 22:25 1.166 win2A.tmp
08.10.2006 20:19 13.080 idd1C0.tmp.exe
08.10.2006 19:57 13.080 idd1B8.tmp.exe
08.10.2006 19:35 13.080 idd1B7.tmp.exe
08.10.2006 19:13 13.080 idd1B6.tmp.exe
08.10.2006 18:29 13.080 idd1AF.tmp.exe
08.10.2006 18:23 1.166 win180.tmp
08.10.2006 18:09 13.080 idd17D.tmp.exe
08.10.2006 16:41 13.080 idd174.tmp.exe
08.10.2006 16:23 1.166 win163.tmp
08.10.2006 16:21 13.080 idd162.tmp.exe
08.10.2006 15:59 13.080 idd13E.tmp.exe
08.10.2006 00:31 1.166 win6.tmp
07.10.2006 23:58 13.080 idd1F.tmp.exe
07.10.2006 23:58 33.280 win1E.tmp.exe
07.10.2006 23:36 13.080 idd1D.tmp.exe
07.10.2006 23:36 33.280 win1C.tmp.exe
07.10.2006 23:13 13.080 idd19.tmp.exe
07.10.2006 23:13 33.280 win18.tmp.exe
07.10.2006 22:51 13.080 idd13.tmp.exe
07.10.2006 22:51 33.280 win12.tmp.exe
07.10.2006 22:29 13.080 iddC.tmp.exe
07.10.2006 22:29 33.280 winB.tmp.exe
07.10.2006 22:29 1.166 winA.tmp


down:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
08.11.2005 23:49 65 desktop.ini

sytem32:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\system32

09.10.2006 22:21 396.712 ehkmp.ini
08.10.2006 23:40 389.408 ehkmp.bak2
07.10.2006 18:39 6.656 ismini.exe
06.10.2006 23:39 86.036 hrekucwm.dll
06.10.2006 23:39 143.380 wnxxdall.exe
06.10.2006 23:39 387.269 ehkmp.bak1
06.10.2006 23:39 684.084 pmkhe.dll
06.10.2006 23:27 40.973 ljjhiig.dll
06.10.2006 23:27 18.432 winmbj32.dll
30.09.2006 22:57 2.206 wpa.dbl
08.08.2006 20:15 1.474.560 poxqqkne.exe
31.07.2006 20:40 380.350 perfh009.dat
31.07.2006 20:40 52.764 perfc009.dat
31.07.2006 20:40 391.000 perfh007.dat
31.07.2006 20:40 63.580 perfc007.dat
31.07.2006 20:40 895.600 PerfStringBackup.INI
26.06.2006 23:36 4.212 zllictbl.dat

systemtemp:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\DOKUME~1\King\LOKALE~1\Temp

09.10.2006 22:19 2.877 ~WRD0000.doc
09.10.2006 22:17 512 ~DFF1BB.tmp
09.10.2006 22:08 16.384 ~DF763D.tmp
09.10.2006 22:08 512 ~DF6E8A.tmp
09.10.2006 22:08 16.384 ~DF6E76.tmp
09.10.2006 09:53 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31360.html
09.10.2006 09:53 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}21197.html
09.10.2006 09:53 16.384 ~DF8839.tmp
09.10.2006 09:53 16.384 ~DF78B4.tmp
08.10.2006 22:24 4.592 SIntfIcn.ani
08.10.2006 22:24 24.516 SIntfNT.dll
08.10.2006 22:24 19.924 SIntf32.dll
08.10.2006 22:24 12.067 SIntf16.dll
08.10.2006 22:24 36.864 CmdLineExt02.dll
08.10.2006 18:01 16.384 ~DF8286.tmp
08.10.2006 18:01 16.384 ~DF7882.tmp
08.10.2006 00:20 16.384 ~DFA058.tmp
08.10.2006 00:20 16.384 ~DF824D.tmp
07.10.2006 22:28 16.384 ~DF80CB.tmp
07.10.2006 22:28 16.384 ~DF6DD7.tmp

windows:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS

09.10.2006 22:08 0 0.log
09.10.2006 22:08 2.048 bootstat.dat
09.10.2006 10:05 32.552 SchedLgU.Txt
09.10.2006 10:05 133.843 WindowsUpdate.log
09.10.2006 00:15 25.039 wmsetup.log
07.10.2006 19:10 179.061 setupact.log
07.10.2006 19:09 197.526 ntbtlog.txt
07.10.2006 19:08 50 wiaservc.log
07.10.2006 19:08 216 wiadebug.log
07.10.2006 03:08 951 OEWABLog.txt
06.10.2006 23:34 628.395 setupapi.log
16.08.2006 23:16 460 ST6UNST.001
16.08.2006 23:16 73.216 ST6UNST.EXE
16.08.2006 23:16 337 ST6UNST.000
08.08.2006 20:19 142 WININIT.INI
31.07.2006 20:40 90.668 iis6.log
31.07.2006 20:40 20.307 comsetup.log
31.07.2006 20:40 11.609 ntdtcsetup.log
31.07.2006 20:40 4.696 imsins.log
31.07.2006 20:40 18.376 tsoc.log
31.07.2006 20:40 1.563 tabletoc.log
31.07.2006 20:40 2.694 MedCtrOC.log
31.07.2006 20:40 1.770 ocmsn.log
31.07.2006 20:40 29.070 ocgen.log
31.07.2006 20:40 1.742 msgsocm.log
31.07.2006 20:40 22.587 FaxSetup.log
31.07.2006 20:40 4.951 netfxocm.log
31.07.2006 20:39 19.770 msmqinst.log
31.07.2006 10:46 231 system.ini

Und das hier ist dan von echo:

10)DPF????
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
1 Datei(en) 5.032 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.032 Bytes
0 Verzeichnis(se), 7.194.988.544 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
1 Datei(en) 5.032 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.032 Bytes
0 Verzeichnis(se), 7.194.951.680 Bytes frei


Sorry 4 Edit Post.habe jetzt erst in nem anderen Thread verstanden, dass man das Ganze erst nach dem CleanUp machen soll. Habs noch mal gemacht hier sind meine neuen Logs:

C:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\

09.10.2006 22:56 0 sys.txt
09.10.2006 22:55 339 down.txt
09.10.2006 22:55 360 tmp.txt
09.10.2006 22:54 5.488 system.txt
09.10.2006 22:54 480 systemtemp.txt
09.10.2006 22:53 98.017 system32.txt
09.10.2006 22:51 536.399.872 hiberfil.sys
09.10.2006 22:51 805.306.368 pagefile.sys
09.10.2006 22:34 784 DirDPF.txt
09.10.2006 22:34 2 DirDPFCns.txt
07.10.2006 19:10 890 rapport.txt
07.09.2006 01:03 986 index.php
16.07.2006 13:46 11 TOMBPATH.TXT

Down:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
08.11.2005 23:49 65 desktop.ini
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 8.132.259.840 Bytes frei

System32:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\system32

09.10.2006 22:53 400.194 ehkmp.ini
08.10.2006 23:40 389.408 ehkmp.bak2
07.10.2006 18:39 6.656 ismini.exe
06.10.2006 23:39 86.036 hrekucwm.dll
06.10.2006 23:39 143.380 wnxxdall.exe
06.10.2006 23:39 387.269 ehkmp.bak1
06.10.2006 23:39 684.084 pmkhe.dll
06.10.2006 23:27 40.973 ljjhiig.dll
06.10.2006 23:27 18.432 winmbj32.dll
30.09.2006 22:57 2.206 wpa.dbl
08.08.2006 20:15 1.474.560 poxqqkne.exe
31.07.2006 20:40 380.350 perfh009.dat
31.07.2006 20:40 52.764 perfc009.dat
31.07.2006 20:40 391.000 perfh007.dat
31.07.2006 20:40 63.580 perfc007.dat
31.07.2006 20:40 895.600 PerfStringBackup.INI

Systemtemp:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\DOKUME~1\King\LOKALE~1\Temp

09.10.2006 22:52 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}5464.html
09.10.2006 22:52 16.384 ~DF7C3E.tmp
09.10.2006 22:52 512 ~DF47A8.tmp
09.10.2006 22:52 16.384 ~DF4739.tmp
4 Datei(en) 34.263 Bytes
0 Verzeichnis(se), 8.132.276.224 Bytes frei

Temp:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Temp

09.10.2006 22:53 0 win8.tmp
09.10.2006 22:51 0 win1.tmp
09.10.2006 22:50 0 winCA.tmp
3 Datei(en) 0 Bytes
0 Verzeichnis(se), 8.132.276.224 Bytes frei

Windows:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS

09.10.2006 22:52 0 0.log
09.10.2006 22:51 2.048 bootstat.dat
09.10.2006 22:51 32.552 SchedLgU.Txt
09.10.2006 22:51 134.004 WindowsUpdate.log
09.10.2006 00:15 25.039 wmsetup.log
07.10.2006 19:10 179.061 setupact.log
07.10.2006 19:09 197.526 ntbtlog.txt
07.10.2006 19:08 50 wiaservc.log
07.10.2006 19:08 216 wiadebug.log
07.10.2006 03:08 951 OEWABLog.txt
06.10.2006 23:34 628.395 setupapi.log
16.08.2006 23:16 460 ST6UNST.001
16.08.2006 23:16 73.216 ST6UNST.EXE
16.08.2006 23:16 337 ST6UNST.000
08.08.2006 20:19 142 WININIT.INI
31.07.2006 20:40 90.668 iis6.log
31.07.2006 20:40 20.307 comsetup.log
31.07.2006 20:40 11.609 ntdtcsetup.log
31.07.2006 20:40 18.376 tsoc.log
31.07.2006 20:40 4.696 imsins.log
31.07.2006 20:40 1.563 tabletoc.log
31.07.2006 20:40 1.770 ocmsn.log
31.07.2006 20:40 2.694 MedCtrOC.log
31.07.2006 20:40 29.070 ocgen.log
31.07.2006 20:40 1.742 msgsocm.log
31.07.2006 20:40 22.587 FaxSetup.log
31.07.2006 20:40 4.951 netfxocm.log
31.07.2006 20:39 19.770 msmqinst.log
31.07.2006 10:46 231 system.ini

Und hier noch mal der Log von Echo:

10)DPF????
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
1 Datei(en) 5.032 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.032 Bytes
0 Verzeichnis(se), 7.194.988.544 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
1 Datei(en) 5.032 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.032 Bytes
0 Verzeichnis(se), 7.194.951.680 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
1 Datei(en) 5.032 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.032 Bytes
0 Verzeichnis(se), 8.131.915.776 Bytes frei


Hoffe diesmal habe ich alles richtig gemacht.
Mit freundlichen Grüßen
Dieser Beitrag wurde am 09.10.2006 um 23:05 Uhr von Necrolord editiert.
Seitenanfang Seitenende
10.10.2006, 01:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2,
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winmbj32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmkhe

Files to delete:
C:\WINDOWS\Temp\winB8.tmp
C:\WINDOWS\Temp\win8.tmp
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\winCA.tmp
C:\WINDOWS\system32\ehkmp.ini
C:\WINDOWS\system32\ehkmp.bak2
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\hrekucwm.dll
C:\WINDOWS\system32\wnxxdall.exe
C:\WINDOWS\system32\ehkmp.bak1
C:\WINDOWS\system32\pmkhe.dll
C:\WINDOWS\system32\ljjhiig.dll
C:\WINDOWS\system32\winmbj32.dll
C:\WINDOWS\system32\poxqqkne.exe

Folders to delete:
C:\WINDOWS\system32\components

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2006, 14:43
...neu hier

Themenstarter

Beiträge: 5
#5 So, habe das gante jetzt mal durchgeführt. Soweit ging glaube ich auch alles gut, nur im Combofix, kam nach dem y drücken ein Fehler von wegen Registrierungsschlüssel oder Wert nicht gefunden. Ein Datenbereinigungsfenster öffnet sich auch nicht, aber ein Log wird trotzdem angezeigt.

Hier ist der Log:

King - 06-10-10 14:33:58,87 Service Pack 2
ComboFix 06.10.10 - Running from: "C:\Dokumente und Einstellungen\King\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-10 to 2006-10-10 ))))))))))))))))))))))))))))))))))


2006-10-07 18:48 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-10-07 18:48 42,496 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-07 18:48 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-07 18:48 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-10 14:19 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-09 22:09 -------- d-------- C:\Dokumente und Einstellungen\King\Anwendungsdaten\teamspeak2
2006-10-07 19:35 -------- d-------- C:\Programme\eMule
2006-10-07 00:09 -------- d-------- C:\Dokumente und Einstellungen\King\Anwendungsdaten\EAST Technologies
2006-10-07 00:04 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-12 23:15 -------- d-------- C:\Dokumente und Einstellungen\King\Anwendungsdaten\MyPhoneExplorer
2006-09-11 16:07 -------- d-------- C:\Dokumente und Einstellungen\King\Anwendungsdaten\Skype
2006-09-02 19:53 -------- d-------- C:\Programme\Sygate
2006-09-02 19:53 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-08-24 00:04 -------- d-------- C:\Programme\Ashampoo
2006-08-16 23:16 73216 --a------ C:\WINDOWS\ST6UNST.EXE


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\\WINDOWS\\Updreg.exe"
"BDMCon"="\"C:\\Programme\\Softwin\\BitDefender8\\bdmcon.exe\""
"BDNewsAgent"="\"C:\\Programme\\Softwin\\BitDefender8\\bdnagent.exe\""
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 10.10.2006 14:34:17.53
ComboFix.txt



MfG
Seitenanfang Seitenende
11.10.2006, 01:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 poste noch mal die 6 logs von datfindbat zur ueberpruefung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 12:55
...neu hier

Themenstarter

Beiträge: 5
#7 system32:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\system32

30.09.2006 22:57 2.206 wpa.dbl
31.07.2006 20:40 380.350 perfh009.dat
31.07.2006 20:40 52.764 perfc009.dat
31.07.2006 20:40 391.000 perfh007.dat
31.07.2006 20:40 63.580 perfc007.dat
31.07.2006 20:40 895.600 PerfStringBackup.INI

systemtemp:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\DOKUME~1\King\LOKALE~1\Temp

11.10.2006 12:45 16.384 ~DFBC71.tmp
11.10.2006 12:45 512 ~DFB199.tmp
11.10.2006 12:45 16.384 ~DFB185.tmp
3 Datei(en) 33.280 Bytes

system:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS

11.10.2006 12:45 0 0.log
11.10.2006 12:45 2.048 bootstat.dat
10.10.2006 23:04 32.552 SchedLgU.Txt
10.10.2006 23:04 135.214 WindowsUpdate.log
10.10.2006 14:37 296.288 ntbtlog.txt
09.10.2006 00:15 25.039 wmsetup.log
07.10.2006 19:10 179.061 setupact.log
07.10.2006 19:08 50 wiaservc.log
07.10.2006 19:08 216 wiadebug.log
07.10.2006 03:08 951 OEWABLog.txt
06.10.2006 23:34 628.395 setupapi.log
16.08.2006 23:16 460 ST6UNST.001
16.08.2006 23:16 73.216 ST6UNST.EXE
16.08.2006 23:16 337 ST6UNST.000
08.08.2006 20:19 142 WININIT.INI
31.07.2006 20:40 90.668 iis6.log
31.07.2006 20:40 20.307 comsetup.log
31.07.2006 20:40 11.609 ntdtcsetup.log
31.07.2006 20:40 18.376 tsoc.log
31.07.2006 20:40 4.696 imsins.log
31.07.2006 20:40 1.563 tabletoc.log
31.07.2006 20:40 1.770 ocmsn.log
31.07.2006 20:40 2.694 MedCtrOC.log
31.07.2006 20:40 29.070 ocgen.log
31.07.2006 20:40 1.742 msgsocm.log
31.07.2006 20:40 22.587 FaxSetup.log
31.07.2006 20:40 4.951 netfxocm.log
31.07.2006 20:39 19.770 msmqinst.log
31.07.2006 10:46 231 system.ini

temp:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Temp


down:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
08.11.2005 23:49 65 desktop.ini
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 8.101.179.392 Bytes frei


sys:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B06E-FEB8

Verzeichnis von C:\

11.10.2006 12:55 0 sys.txt
11.10.2006 12:54 339 down.txt
11.10.2006 12:54 111 tmp.txt
11.10.2006 12:53 5.488 system.txt
11.10.2006 12:53 383 systemtemp.txt
11.10.2006 12:51 97.530 system32.txt
11.10.2006 12:45 536.399.872 hiberfil.sys
11.10.2006 12:45 805.306.368 pagefile.sys
10.10.2006 14:39 4.614 ComboFix.txt
10.10.2006 14:35 4.599 ComboFix2.txt
10.10.2006 14:34 4.584 ComboFix3.txt
10.10.2006 14:31 6.534 avenger.txt
10.10.2006 14:17 1.379 VundoFix.txt
09.10.2006 23:02 1.176 DirDPF.txt
09.10.2006 23:02 2 DirDPFCns.txt
07.10.2006 19:10 890 rapport.txt
07.09.2006 01:03 986 index.php
16.07.2006 13:46 11 TOMBPATH.TXT

MfG
Seitenanfang Seitenende
11.10.2006, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Necrolord

**
loesche das backup vom Avenger und vom Vundofix

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O3 - Toolbar: (no name) - {052b12f7-86fa-4921-8482-26c42316b522} - (no file)

PC neustarten

**
es muesste alles wieder in Ordnung sein...kommen noch popups ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 14:00
...neu hier

Themenstarter

Beiträge: 5
#9 sorry aber ich find die net. Hier ist der Log;


Logfile of HijackThis v1.99.1
Scan saved at 13:59:28, on 11.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Dokumente und Einstellungen\King\Desktop\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\hrekucwm.dll (file missing)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - (no file)
O2 - BHO: (no name) - {AF3E236C-1A98-4658-BE81-DB125571B0D5} - C:\WINDOWS\system32\pmkhe.dll (file missing)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C73D99B-BE91-46A7-AD29-EDF2BF00D2D2}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Seitenanfang Seitenende
11.10.2006, 14:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 fixe mit dem HijackThis:

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\hrekucwm.dll (file missing)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - (no file)
O2 - BHO: (no name) - {AF3E236C-1A98-4658-BE81-DB125571B0D5} - C:\WINDOWS\system32\pmkhe.dll (file missing)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: