Home » Spyware & Browser Hijacker Support Forum » VirusBurst-Virusburster-Critical System Error! » Themenansicht

VirusBurst-Virusburster-Critical System Error!

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.10.2006, 20:09
TDM850
...neu hier

Beiträge: 4
#1 Hallo Sabina,
ich hoffe, du kannst mir auch helfen. Ich habe zwar auch selbst schon einiges aus der registry gelöscht, aber der balloon und c:hello etc bleiben.

Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 01:05:07, on 11.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\winzip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Eigene Dateien\tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.proxy.netcologne.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\winzip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: breakneck - {06fe8138-6c67-484f-ab1f-42abddd2cbb6} - C:\WINDOWS\system32\qnusjji.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Viele Grüße TDM850
PS: irgendwie konnte ich im bestehenden thread nicht antworten (bin zu dumm?!) deshalb ein eigener thread.

hier noch das log von combofix:
Besitzer - 06-10-11 20:23:56,18 Service Pack 2
ComboFix 06.10.11 - Running from: "C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-11 to 2006-10-11 ))))))))))))))))))))))))))))))))))


2006-10-11 00:37 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-10-11 00:37 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-10-09 22:32 143,360 --a------ C:\WINDOWS\system32\qnusjji.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-11 20:19 95162 --a------ C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Anwendungsdaten\CleanUp!.log
2006-10-11 20:18 -------- d-------- C:\Programme\CleanUp!
2006-10-11 20:18 -------- d-------- C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Anwendungsdaten\Help
2006-10-11 19:27 17408 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-10-11 00:38 -------- d-------- C:\Programme\Spyware Doctor
2006-10-11 00:37 -------- d-------- C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Anwendungsdaten\PC Tools
2006-10-09 23:38 -------- d---s---- C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Anwendungsdaten\Microsoft
2006-10-05 22:23 11686 --a------ C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Anwendungsdaten\wklnhst.dat
2006-10-05 21:37 -------- d-------- C:\Programme\Windows Media Player
2006-08-31 21:41 -------- d-------- C:\Programme\Lexmark_HostCD
2006-08-31 21:41 -------- d-------- C:\Programme\Lexmark
2006-08-26 14:54 -------- d-------- C:\Programme\T-DSL SpeedManager
2006-08-23 23:38 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-12 23:35 -------- d-------- C:\Programme\Internet Explorer
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\INFOCOCKPIT.EXE /nosplash"
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Dit"="Dit.exe"
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"AGRSMMSG"="AGRSMMSG.exe"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"Keyboard Status"="C:\\PROGRA~1\\Medion\\KeyStat\\KeyStat.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Programme\\Home Cinema\\PowerDVD\\PDVDServ.exe\""
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"EPSON Stylus CX6400"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S10IC2.EXE /P19 \"EPSON Stylus CX6400\" /O6 \"USB001\" /M \"Stylus CX6400\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\INFOCOCKPIT.EXE /nosplash"
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\INFOCOCKPIT.EXE /nosplash"
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{06fe8138-6c67-484f-ab1f-42abddd2cbb6}"="breakneck"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"breakneck"="{06fe8138-6c67-484f-ab1f-42abddd2cbb6}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 11.10.2006 20:25:06.26
ComboFix.txt

UND hier Logs von datfind.bat ****************

Datentr„ger in Laufwerk C: ist Hello
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

11.10.2006 19:27 54.112 vsconfig.xml
11.10.2006 19:27 2.206 wpa.dbl
11.10.2006 19:26 5.805 ikhcore.log
09.10.2006 22:32 143.360 qnusjji.dll
02.10.2006 19:28 4.212 zllictbl.dat
12.09.2006 20:46 1.201 LexFiles.usr
11.09.2006 19:37 8.960.936 MRT.exe
31.08.2006 21:51 5.600 LexFiles.ulf
23.08.2006 23:38 42.920 vsutil_loc0407.dll
23.08.2006 23:38 392.824 vsdatant.sys
23.08.2006 23:38 71.672 zlcommdb.dll
23.08.2006 23:38 83.960 zlcomm.dll
23.08.2006 23:38 100.344 vsxml.dll
23.08.2006 23:38 59.384 vswmi.dll
23.08.2006 23:38 440.312 vsutil.dll
23.08.2006 23:38 268.280 vspubapi.dll
23.08.2006 23:38 71.672 vsregexp.dll
23.08.2006 23:38 157.688 vsinit.dll
23.08.2006 23:38 104.440 vsmonapi.dll
23.08.2006 23:37 83.960 vsdata.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
01.08.2006 08:49 376.162 perfh009.dat
01.08.2006 08:49 386.678 perfh007.dat
01.08.2006 08:49 51.960 perfc009.dat
01.08.2006 08:49 62.786 perfc007.dat
01.08.2006 08:49 886.968 PerfStringBackup.INI
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll


Datentr„ger in Laufwerk C: ist Hello
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\BESITZ~1.NAM\LOKALE~1\Temp

11.10.2006 20:31 16.384 ~WRF0001.tmp
11.10.2006 20:31 1.365 ~WRD0000.doc
11.10.2006 20:31 512 ~DF2C3A.tmp
11.10.2006 19:48 16.384 Perflib_Perfdata_ff8.dat
11.10.2006 19:40 16.384 Perflib_Perfdata_f08.dat
11.10.2006 19:28 16.384 ~DF4CCE.tmp
6 Datei(en) 67.413 Bytes
0 Verzeichnis(se), 39.813.279.744 Bytes frei

Datentr„ger in Laufwerk C: ist Hello
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

11.10.2006 19:47 1.644.447 WindowsUpdate.log
11.10.2006 19:42 3.601 KB924191.log
11.10.2006 19:42 3.498 KB922819.log
11.10.2006 19:42 3.305 KB924496.log
11.10.2006 19:42 3.398 KB923414.log
11.10.2006 19:42 3.318 KB923191.log
11.10.2006 19:28 535.133 setupapi.log
11.10.2006 19:27 6.102 ModemLog_Bluetooth DUN Modem.txt
11.10.2006 19:27 6.096 ModemLog_Bluetooth Fax Modem.txt
11.10.2006 19:27 4.570 ModemLog_Creatix V.92 Data Fax Modem.txt
11.10.2006 19:27 159 wiadebug.log
11.10.2006 19:27 50 wiaservc.log
11.10.2006 19:27 0 0.log
11.10.2006 19:26 2.048 bootstat.dat
11.10.2006 01:11 32.622 SchedLgU.Txt
09.10.2006 22:58 699.528 SIGVERIF.TXT
09.10.2006 02:49 116 NeroDigital.ini
01.10.2006 23:49 119.025 ntdtcsetup.log
01.10.2006 23:49 222.899 tsoc.log
01.10.2006 23:49 86.709 iis6.log
01.10.2006 23:49 1.374 imsins.log
01.10.2006 23:49 31.242 ocmsn.log
01.10.2006 23:49 194.469 comsetup.log
01.10.2006 23:49 10.549 KB925486.log
01.10.2006 23:49 28.531 msgsocm.log
01.10.2006 23:49 293.754 ocgen.log
01.10.2006 23:49 565.676 FaxSetup.log
12.09.2006 22:23 1.374 imsins.BAK
12.09.2006 22:23 13.073 KB920685.log
12.09.2006 22:23 14.992 KB920872.log
12.09.2006 22:23 13.222 KB919007.log
12.09.2006 22:23 9.207 KB922582.log
12.09.2006 22:23 30.271 updspapi.log
31.08.2006 21:51 748 LMAAL2DD.ini
20.08.2006 00:05 219.723 setupact.log
12.08.2006 23:35 14.998 KB920214.log
12.08.2006 23:35 14.993 KB922616.log
12.08.2006 23:35 15.392 KB921398.log
12.08.2006 23:35 18.639 KB918899.log
12.08.2006 23:35 11.380 KB920670.log
12.08.2006 23:35 11.537 KB917422.log
12.08.2006 23:35 11.917 KB920683.log
08.08.2006 22:12 11.099 KB921883.log
08.08.2006 19:44 65.673 wmsetup.log
31.07.2006 22:56 11.832 KB917159.log
31.07.2006 22:56 12.342 KB914388.log
31.07.2006 22:56 10.449 KB916595.log
30.06.2006 23:42 8.631 WgaNotify.log

Datentr„ger in Laufwerk C: ist Hello
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Temp

11.10.2006 19:27 256 ZLT02c01.TMP
11.10.2006 19:27 256 ZLT02bfd.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 39.811.567.616 Bytes frei

Datentr„ger in Laufwerk C: ist Hello
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 13:00 5.019 swflash.inf
26.01.2005 22:10 65 desktop.ini
22.08.2003 22:10 226 opuc.inf
3 Datei(en) 5.310 Bytes
0 Verzeichnis(se), 39.811.567.616 Bytes frei

Datentr„ger in Laufwerk C: ist Hello
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

11.10.2006 20:39 0 sys.txt
11.10.2006 20:38 383 down.txt
11.10.2006 20:38 319 tmp.txt
11.10.2006 20:37 10.839 system.txt
11.10.2006 20:34 564 systemtemp.txt
11.10.2006 20:33 98.307 system32.txt
11.10.2006 20:25 8.163 ComboFix.txt
11.10.2006 19:26 1.073.270.784 hiberfil.sys
11.10.2006 19:26 1.610.612.736 pagefile.sys
11.01.2006 22:20 309 ToCaclLg.txt
11.01.2006 22:17 564 TO_InstallLog.txt
11.01.2006 22:05 7.107 TDSLCheck.txt
23.09.2005 15:22 211 boot.ini
12.02.2005 20:54 50 AUTOEXEC.BAT
06.02.2005 15:35 771 IPH.PH
26.01.2005 22:11 0 MSDOS.SYS
26.01.2005 22:11 0 IO.SYS
26.01.2005 22:11 0 CONFIG.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
21 Datei(en) 2.684.314.807 Bytes
0 Verzeichnis(se), 39.811.563.520 Bytes frei


Ich hoffe, jetzt habe ich alles zusammen, was du/ihr braucht.

Vielen Dank schon mal !!
Dieser Beitrag wurde am 11.10.2006 um 20:42 Uhr von TDM850 editiert.
Seitenanfang Seitenende
12.10.2006, 01:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"breakneck"="{06fe8138-6c67-484f-ab1f-42abddd2cbb6}" -loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
{06fe8138-6c67-484f-ab1f-42abddd2cbb6} - loeschen


-------------------------------

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06fe8138-6c67-484f-ab1f-42abddd2cbb6}
HKEY_CLASSES_ROOT\CLSID\{06fe8138-6c67-484f-ab1f-42abddd2cbb6}

Files to delete:
C:\WINDOWS\system32\qnusjji.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 22:21
TDM850
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina,

vielen Dank !

Der Avenger brachte folgendes Log:



//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xffyiqsk

*******************

Script file located at: \??\C:\kfbeqwon.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\qnusjji.dll deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06fe8138-6c67-484f-ab1f-42abddd2cbb6} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06fe8138-6c67-484f-ab1f-42abddd2cbb6} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Den ersten Reg-key hatte ich wohl schon vorher handisch gelöscht.
Den zweiten Reg-Key habe ich mit regedit nicht gefunden (hatte ich evtl auch schon vorher gelöscht)

ich habe dann die smitfraudfix.cmd mit Option 1,2 ausgeführt. Kein Log ?!

Der Balloon ist weg, meine c: heisst wieder c: und bleibt auch bei diesem schönen Namen.

Ist mein PC damit sauber ??

Dir vielen Dank !!!!!

Gruß TDM850
Seitenanfang Seitenende
13.10.2006, 11:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 wenn du noch mit smitfraudfix scannst - muesste dann alles wieder o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 12:25
TDM850
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo,

"ich habe dann die smitfraudfix.cmd mit Option 1,2 ausgeführt. Kein Log ?!"

Führe ich den Scan mit der smitfraudfix.cmd aus ?

Was anderes sinnvolles hatte ich nach dem unzip nicht im Verzeichnis. Wo kann ich ein evtl. Log finden oder gibt es keines ?

Auf jeden Fall schon mal ganz lieben Dank !!!!

Gruß TDM850
Seitenanfang Seitenende
13.10.2006, 12:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Das Logfile findet man auf deiner Festplatte, normalerweise als C:\rapport.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 12:29
TDM850
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Sabina,

Danke für die schnelle Antwort und Hilfe, werde ich mir heute abend ansehen.

Ein schönes Wochenende !

Gruß TDM850

Hallo Sabina,
das steht im Rapport.txt nach Option 2 (hat log aus Scan-Lauf überschrieben):


SmitFraudFix v2.109

Scan done at 22:25:15,60, 13.10.2006
Run from C:\Dokumente und Einstellungen\Besitzer.NAME-7340A84D73\Eigene Dateien\Unzipped\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Vielen Dank !
Gruß TDM850
Dieser Beitrag wurde am 13.10.2006 um 22:31 Uhr von TDM850 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1