Home » Spyware & Browser Hijacker Support Forum » Wie bekomme ich das weg? » Themenansicht

Wie bekomme ich das weg?

Thema ist geschlossen!
Thema ist geschlossen!
#0
12.10.2006, 16:09
Carbon
Member

Beiträge: 23
#1 hi
bei mir kommt immer unten rechts in der task leiste ein gelbes fragezeichen und dann ein gelbes X in einen blauen hintergrund das geht die ganze zeit.
Habe schon !! Tipp: VirusBurst-Virusburster-Critical System Error! durchgelesen
aber:

Bei mir sind keine verdechtigen programme auf C\Programme
Bild:
http://bildrian.de/n/b/4035c76db5273376.bmp

wer kann mir helfen?
was muss ich tun?
mfg
Carbon

Falls es Hilft:
Logfile of HijackThis v1.99.1
Scan saved at 16:08:44, on 12.10.2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\System32\nvsvc32.exe
D:\Programme\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
D:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINNT\system32\wuauclt.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\ich\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldofcrime.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - d:\programme\steganos internet anonym 2006\sia2006iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UVS10 Preload] "D:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {435F9DA5-E7FB-401C-980B-F50A876194A9} - C:\WINNT\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {435F9DA5-E7FB-401C-980B-F50A876194A9} - C:\WINNT\System32\shdocvw.dll (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O20 - Winlogon Notify: Explorer - C:\WINNT\
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4} - C:\WINNT\system32\dpfwu.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: ptssvc - KODAK - D:\Programme\Kodak EasyShare software\bin\ptssvc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Dieser Beitrag wurde am 12.10.2006 um 16:13 Uhr von Carbon editiert.
Seitenanfang Seitenende
12.10.2006, 16:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

»»
poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 19:06
Carbon
Member

Themenstarter

Beiträge: 23
#3 Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: 8C19-8267

Verzeichnis von C:\WINNT\system32

12.10.2006 18:53 21.961 nvapps.xml
12.10.2006 18:52 899.964 ikhcore.log
12.10.2006 11:44 134.072 FNTCACHE.DAT
11.10.2006 19:27 106.496 dpfwu.dll
07.10.2006 20:19 325.250 perfh009.dat
07.10.2006 20:19 48.968 perfc009.dat
07.10.2006 20:19 318.828 perfh007.dat
07.10.2006 20:19 59.698 perfc007.dat
07.10.2006 18:46 4.212 zllictbl.dat
01.10.2006 10:58 16.384 Perflib_Perfdata_394.dat
29.09.2006 17:29 16.384 Perflib_Perfdata_39c.dat
28.09.2006 02:26 176.128 titiau.dll
25.09.2006 21:48 470 ws344069.ocx
29.08.2006 19:43 135.168 swreg.exe
23.08.2006 23:38 392.824 vsdatant.sys
23.08.2006 23:38 71.672 zlcommdb.dll
23.08.2006 23:38 83.960 zlcomm.dll
23.08.2006 23:38 440.312 vsutil.dll
23.08.2006 23:38 100.344 vsxml.dll
23.08.2006 23:38 268.280 vspubapi.dll
23.08.2006 23:38 104.440 vsmonapi.dll
23.08.2006 23:37 83.960 vsdata.dll
10.08.2006 16:06 3.176 gafilter.sti
10.08.2006 16:06 4.808 gaeffect.sti
27.07.2006 14:50 782.588 PerfStringBackup.INI
13.07.2006 13:20 105.984 delme.exe
08.07.2006 13:23 16.384 Perflib_Perfdata_290.dat





Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: 8C19-8267

Verzeichnis von C:\DOKUME~1\ich\LOKALE~1\Temp

12.10.2006 19:05 40.960 rtdrvmon.exe
12.10.2006 18:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}23138.html
12.10.2006 18:54 16.384 ~DF1031.tmp
12.10.2006 18:54 512 ~DF405.tmp
12.10.2006 18:54 16.384 ~DF3FD.tmp
12.10.2006 18:35 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}28836.html
12.10.2006 17:30 16.384 ~DF1A51.tmp
12.10.2006 17:30 16.384 ~DFEBF.tmp
12.10.2006 10:39 16.384 ~DF9944.tmp
12.10.2006 10:39 16.384 ~DF8E6D.tmp
09.10.2006 00:11 114 D1B5B4F1.TMP
06.10.2006 04:09 257 DFC5A2B2.TMP
12 Datei(en) 142.108 Bytes
0 Verzeichnis(se), 1.340.858.368 Bytes frei







Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: 8C19-8267

Verzeichnis von C:\WINNT

12.10.2006 18:52 1.249.576 WindowsUpdate.log
12.10.2006 18:46 32.568 SchedLgU.Txt
12.10.2006 16:35 1.188.254 ShellIconCache
12.10.2006 13:21 18.102 ntbtlog.txt
12.10.2006 11:12 330 ULEAD32.INI
11.10.2006 11:43 202 NeroDigital.ini
10.10.2006 11:00 26 popcinfo.dat
07.10.2006 20:17 154 DtcInstall.log
27.09.2006 21:06 999 win.ini
27.09.2006 21:06 999 win.tmp
25.09.2006 17:05 316.640 WMSysPr9.prx
19.09.2006 19:02 35 Sierra.ini
09.09.2006 10:46 7.807 mozver.dat
09.09.2006 10:45 1.252 wininit.ini
22.08.2006 23:38 191 ¤•¢„Š˜ Ñ॥ÒÔ ¥ã·ÖŽ·Ñ㠋І„¤•…ƒ‰˜†•.pls
22.08.2006 23:32 84 winamp.ini
22.08.2006 23:31 42 mdv736.pls
14.08.2006 18:12 754 WORDPAD.INI
31.07.2006 21:38 327 lexstat.ini
13.07.2006 12:45 335 mozregistry.dat





Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: 8C19-8267

Verzeichnis von C:\

12.10.2006 19:09 0 tmp.txt
12.10.2006 19:08 7.246 system.txt
12.10.2006 19:07 957 systemtemp.txt
12.10.2006 19:06 97.523 system32.txt
12.10.2006 18:52 402.653.184 pagefile.sys
12.10.2006 14:24 24.304 avenger.txt
12.10.2006 14:23 247 zib01400
12.10.2006 13:18 2.017 rapport.txt
12.10.2006 13:13 247 zia00320
12.10.2006 13:02 93.537 zia01400
12.10.2006 13:02 373 zia01232
12.10.2006 12:20 61.687 zia01328
12.10.2006 11:45 70.761 zia01456
25.09.2006 21:48 458 os466477.bin
14.07.2006 16:32 168 setupfax.log




Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: 8C19-8267

Verzeichnis von C:\WINNT\Downloaded Program Files

19.07.2005 11:07 104.192 NutzNavi.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
4 Datei(en) 497.408 Bytes
0 Verzeichnis(se), 1.340.846.080 Bytes frei




Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: 8C19-8267

Verzeichnis von C:\

12.10.2006 19:10 0 sys.txt
12.10.2006 19:09 450 down.txt
12.10.2006 19:09 2.012 tmp.txt
12.10.2006 19:08 7.246 system.txt
12.10.2006 19:07 957 systemtemp.txt
12.10.2006 19:06 97.523 system32.txt
12.10.2006 18:52 402.653.184 pagefile.sys
12.10.2006 14:24 24.304 avenger.txt
12.10.2006 14:23 247 zib01400
12.10.2006 13:18 2.017 rapport.txt
12.10.2006 13:13 247 zia00320
12.10.2006 13:02 93.537 zia01400
12.10.2006 13:02 373 zia01232
12.10.2006 12:20 61.687 zia01328
12.10.2006 11:45 70.761 zia01456
25.09.2006 21:48 458 os466477.bin
14.07.2006 16:32 168 setupfax.log



Dieser Beitrag wurde am 12.10.2006 um 19:15 Uhr von Carbon editiert.
Seitenanfang Seitenende
13.10.2006, 00:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
gehe in die Registry
Start - Ausführen - regedit

loeschen, was ich rot kennzeiche:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
eeler - {1559e6c1-7e5e-4461-9457-6a2dea85eb9f}
contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}
{dfa61db1-388e-4c87-8d56-540fa229bcb4}

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}
HKEY_CLASSES_ROOT\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}
HKEY_CLASSES_ROOT\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}

Files to delete:
C:\WINNT\system32\dpfwu.dll
C:\WINNT\system32\titiau.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste hier beide scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 12:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Look2Me-Destroyer V1.0.5 - anwenden, dann alles andere abarbeiten ;)
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 13:03
Carbon
Member

Themenstarter

Beiträge: 23
#6 So habe jetzt das mit Avenger gemacht und das ding ist weg wie ich es haben wollte muss ich trotzdem weiter machen?
Seitenanfang Seitenende
13.10.2006, 13:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 ja, du musst noch anwenden:Look2Me-Destroyer V1.0.5 und smitfraudfix.
dann versuche es noch mal mit der combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 13:32
Carbon
Member

Themenstarter

Beiträge: 23
#8 SmitFraudFix v2.109

Scan done at 13:20:53.58, Fri 2006-10-13
Run from C:\Dokumente und Einstellungen\ich\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\ich


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\ich\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ich\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End









SmitFraudFix v2.109

Scan done at 13:18:45.77, Fri 2006-10-13
Run from C:\Dokumente und Einstellungen\ich\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{dfa61db1-388e-4c87-8d56-540fa229bcb4}"="contrabandists"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
13.10.2006, 13:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 nun versuche es noch mal mit der combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 14:12
Carbon
Member

Themenstarter

Beiträge: 23
#10 ich - Fr 13.10.2006 14:10:07,47 Service Pack 3
ComboFix 06.10.12 - Running from: "C:\Dokumente und Einstellungen\ich\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0000
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0001
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0002
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0003
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0004
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0005
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0006
C:\QooBox\Purity\Dokumente und Einstellungen\ich\Eigene Dateien\YSTEM~1\?ystem\ctxad-426.0007


((((((((((((((((((((((((((((((( Files Created from 2006-09-13 to 2006-10-13 ))))))))))))))))))))))))))))))))))


2006-10-11 19:39 51,456 --a------ C:\WINNT\system32\drivers\ikhlayer.sys
2006-10-11 19:39 30,688 --a------ C:\WINNT\system32\drivers\ikhfile.sys
2006-10-11 19:16 78,488 --a------ C:\WINNT\system32\XMD5.dll
2006-10-11 19:16 101,888 --a------ C:\WINNT\system32\vb6stkit.dll
2006-09-25 20:10 208,896 --a------ C:\WINNT\system32\wmpns.dll
2006-09-25 17:05 82,432 --a------ C:\WINNT\system32\drmstor.dll
2006-09-25 17:05 301,712 --a------ C:\WINNT\system32\drmclien.dll
2006-09-25 17:05 102,400 --a------ C:\WINNT\system32\tsccvid.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-12 19:36 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-10-12 11:32 -------- d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ICQLite
2006-10-12 11:12 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-11 19:39 -------- d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\PC Tools
2006-10-08 16:29 -------- d-------- C:\Programme\Zone Labs
2006-10-07 20:19 -------- d-a------ C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-07 20:19 -------- d-------- C:\Programme\Internet Explorer
2006-10-07 20:16 -------- d-------- C:\Programme\VideoLAN
2006-10-07 18:20 -------- d-------- C:\Programme\Gemeinsame Dateien\GameSpy Arcade
2006-09-25 17:05 -------- d-------- C:\Programme\Windows Media Player
2006-09-18 16:07 -------- d-------- C:\Programme\AVPersonal
2006-09-13 20:43 -------- d-------- C:\Programme\Lexmark X1100 Series
2006-09-09 10:46 -------- d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Mozilla
2006-09-09 10:45 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-08 17:06 11973 --a------ C:\WINNT\system32\drivers\SECDRV.SYS
2006-09-05 21:46 -------- d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Lavasoft
2006-09-04 19:01 -------- d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2006-09-04 19:01 -------- d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\CDZilla
2006-09-03 19:25 -------- d-------- C:\Programme\Secure Surfing Engine
2006-09-03 19:11 -------- d---s---- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Microsoft
2006-08-30 18:59 -------- d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Talkback
2006-07-13 13:20 105984 --a------ C:\WINNT\system32\delme.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="\"RUNDLL32.EXE\" C:\\WINNT\\System32\\NvCpl.dll,NvStartup"
"nwiz"="\"nwiz.exe\" /install"
"NvMediaCenter"="\"RUNDLL32.EXE\" C:\\WINNT\\System32\\NvMcTray.dll,NvTaskbarInit"
"Synchronization Manager"="mobsync.exe /logon"
"UVS10 Preload"="\"D:\\Programme\\Ulead Systems\\Ulead VideoStudio 10\\uvPL.exe\""
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"RegistryMechanic"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
@=""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"Spyware Doctor"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avast!"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DAEMON Tools"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\little_helper2.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="little_helper2.exe"
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SpybotSD TeaTimer"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS10 Preload]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UVS10 Preload"
"hkey"="HKLM"
"command"="D:\\Programme\\Ulead Systems\\Ulead VideoStudio 10\\uvPL.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\At1.job
C:\WINNT\tasks\At2.job
C:\WINNT\tasks\At3.job
C:\WINNT\tasks\At4.job

Completion time: Fri 2006-10-13 14:10:19.90
ComboFix.txt

Was jetzt?
Dieser Beitrag wurde am 13.10.2006 um 14:33 Uhr von Carbon editiert.
Seitenanfang Seitenende
13.10.2006, 17:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\little_helper2.exe
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\easytool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\little_helper2_is1

Files to delete:
C:\Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup\little_helper2.lnk
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\wo.tmp

Folders to delete:
C:\Programme\little_helper2
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne, stelle alles, was gefunden wird auf loeschen und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 19:07
Carbon
Member

Themenstarter

Beiträge: 23
#12 Report im Anhang!!!!!!!!!

C:\zia01328/avenger/WinMediaCodec/pmuninst.exe -> Downloader.Zlob.and : Gesäubert.
C:\zia01364/avenger/titiau.dll -> Not-A-Virus.Hoax.Win32.Renos.er : Gesäubert.

Anhang: Report-Scan-20061013-181321.txt
Seitenanfang Seitenende
14.10.2006, 00:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 hat auch nichs mehr gefunden, nur noch, was sowieso schon im backup von avenger war und cookies ;)
es muesste wieder alles o.k. sein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.10.2006, 00:58
Carbon
Member

Themenstarter

Beiträge: 23
#14 aso ok danke für die hilfe!!!!!!!!!!!!!!!!!!!
mfg
Carbon
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1