Problem mit awtss.dllThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
12.10.2006, 20:23
Member
Beiträge: 22 |
||
 
|
|
|
|
13.10.2006, 12:37
Ehrenmitglied
 Beiträge: 29434 |
#2
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken Zitat REGEDIT42. Gehe in die registry Start - Ausfeuhren - regedit [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}" - loeschen 3. Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html 4. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste hier das log vom avenger, was nach neustart erscheint + noch mal die 6 logs von datfindbat _________ Info: http://www.sophos.de/security/analyses/trojdloadrvo.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.10.2006, 13:38
Member
Themenstarter Beiträge: 22 |
#3
log von avenger
da sind einpaar fehler aufgetreten als ich das durchgeführt habe! ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CURRENT_USER\Software\Search Toolbar Corp Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51} ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\fviyfrwp ******************* Script file located at: \??\C:\Program Files\sctkeddq.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\urls.dat deleted successfully. File C:\WINDOWS\htmlcode.dat deleted successfully. File C:\WINDOWS\system32\sstwa.ini2 not found! Deletion of file C:\WINDOWS\system32\sstwa.ini2 failed! Could not process line: C:\WINDOWS\system32\sstwa.ini2 Status: 0xc0000034 File C:\WINDOWS\system32\sstwa.bak2 not found! Deletion of file C:\WINDOWS\system32\sstwa.bak2 failed! Could not process line: C:\WINDOWS\system32\sstwa.bak2 Status: 0xc0000034 File C:\WINDOWS\system32\sstwa.bak1 not found! Deletion of file C:\WINDOWS\system32\sstwa.bak1 failed! Could not process line: C:\WINDOWS\system32\sstwa.bak1 Status: 0xc0000034 File C:\WINDOWS\system32\amcompat.tlb deleted successfully. File C:\WINDOWS\system32\nscompat.tlb deleted successfully. File C:\WINDOWS\system32\yprwuhbx.exe not found! Deletion of file C:\WINDOWS\system32\yprwuhbx.exe failed! Could not process line: C:\WINDOWS\system32\yprwuhbx.exe Status: 0xc0000034 File C:\WINDOWS\system32\faxjdphq.dll deleted successfully. File C:\WINDOWS\system32\mcrh.tmp deleted successfully. File C:\WINDOWS\system32\sstwa.tmp not found! Deletion of file C:\WINDOWS\system32\sstwa.tmp failed! Could not process line: C:\WINDOWS\system32\sstwa.tmp Status: 0xc0000034 File C:\WINDOWS\system32\sstwa.ini not found! Deletion of file C:\WINDOWS\system32\sstwa.ini failed! Could not process line: C:\WINDOWS\system32\sstwa.ini Status: 0xc0000034 File C:\WINDOWS\system32\awtss.dll not found! Deletion of file C:\WINDOWS\system32\awtss.dll failed! Could not process line: C:\WINDOWS\system32\awtss.dll Status: 0xc0000034 File C:\WINDOWS\system32\ot.ico deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\uqgrokgc.dll not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\uqgrokgc.dll failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\uqgrokgc.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\exxtarlm.dll not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\exxtarlm.dll failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\exxtarlm.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\stbwyhrv.dll not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\stbwyhrv.dll failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\stbwyhrv.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\ytqjmiac.dll not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\ytqjmiac.dll failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\ytqjmiac.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\fckfqfmo.dll not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\fckfqfmo.dll failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\fckfqfmo.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\faxjdphq.dll not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\faxjdphq.dll failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\faxjdphq.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\~DF657A.tmp not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\~DF657A.tmp failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\~DF657A.tmp Status: 0xc0000034 File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\~DF5B42.tmp not found! Deletion of file C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\~DF5B42.tmp failed! Could not process line: C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\~DF5B42.tmp Status: 0xc0000034 Folder C:\Programme\VSToolbar deleted successfully. Folder C:\Programme\msmovies not found! Deletion of folder C:\Programme\msmovies failed! Could not process line: C:\Programme\msmovies Status: 0xc0000034 Folder C:\Dokumente und Einstellungen\info\Anwendungsdaten\SearchToolbarCorp deleted successfully. Folder C:\WINDOWS\system32\components not found! Deletion of folder C:\WINDOWS\system32\components failed! Could not process line: C:\WINDOWS\system32\components Status: 0xc0000034 Folder C:\Programme\Gemeinsame Dateien\{08BFB934-0321-1031-0921-000003270031} not found! Deletion of folder C:\Programme\Gemeinsame Dateien\{08BFB934-0321-1031-0921-000003270031} failed! Could not process line: C:\Programme\Gemeinsame Dateien\{08BFB934-0321-1031-0921-000003270031} Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtss not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtss failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winppp32 deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51} deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51} deleted successfully. Completed script processing. ******************* Finished! Terminate. hier die logs von datfind system32 log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\WINDOWS\system32 11.10.2006 17:59 2.272 w95inf16.dll 11.10.2006 17:59 4.608 w95inf32.dll 09.10.2006 13:15 2.206 wpa.dbl 01.10.2006 13:41 224.816 FNTCACHE.DAT 21.08.2006 20:43 176.167 rmoc3260.dll 21.08.2006 20:43 5.632 pndx5032.dll 21.08.2006 20:43 6.656 pndx5016.dll 21.08.2006 20:43 278.528 pncrt.dll 15.08.2006 16:41 40.128 perfc009.dat 15.08.2006 16:41 311.740 perfh009.dat 15.08.2006 16:41 48.354 perfc007.dat 15.08.2006 16:41 316.924 perfh007.dat 15.08.2006 16:41 722.222 PerfStringBackup.INI 13.08.2006 16:23 43.520 CmdLineExt03.dll 07.08.2006 11:44 7.006 jupdate-1.5.0_06-b05.log 03.08.2006 23:46 0 h323log.txt 03.08.2006 23:08 25.065 wmpscheme.xml 03.08.2006 23:06 261 $winnt$.inf 03.08.2006 23:01 2.951 CONFIG.NT 03.08.2006 22:58 488 WindowsLogon.manifest 03.08.2006 22:58 488 logonui.exe.manifest 03.08.2006 22:58 749 wuaucpl.cpl.manifest 03.08.2006 22:58 749 nwc.cpl.manifest 03.08.2006 22:58 749 ncpa.cpl.manifest 03.08.2006 22:58 749 sapi.cpl.manifest 03.08.2006 22:58 749 cdplayer.exe.manifest 03.08.2006 22:55 21.740 emptyregdb.dat 29.07.2006 19:32 48.936 sirenacm.dll 27.07.2006 04:05 3.596.288 qt-dx331.dll 27.07.2006 04:05 421.888 pxdrv.dll 27.07.2006 04:05 108.544 pxcpyi64.exe 27.07.2006 04:05 109.568 pxinsi64.exe 27.07.2006 04:05 172.032 pxmas.dll 27.07.2006 04:05 372.736 px.dll 27.07.2006 04:05 56.832 pxcpya64.exe 27.07.2006 04:05 61.440 pxhpinst.exe 27.07.2006 04:05 56.320 pxinsa64.exe 27.07.2006 04:05 339.968 pxwave.dll 27.07.2006 04:05 28.672 vxblock.dll 27.07.2006 04:05 73.728 dpl100.dll 27.07.2006 04:05 192.512 dtu100.dll 03.07.2006 23:40 778.240 divx_xx07.dll 03.07.2006 23:40 778.240 divx_xx0c.dll 03.07.2006 23:40 761.856 divx_xx11.dll 03.07.2006 23:40 620.180 DivX.dll 27.06.2006 03:28 704.512 divxdec.ax systemtemp log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\DOKUME~1\info\LOKALE~1\Temp 13.10.2006 13:08 32.768 ~DFB826.tmp 13.10.2006 12:54 98.304 vuxmdmfg.dll 13.10.2006 12:53 109.587 jar_cache30655.tmp 13.10.2006 12:53 12.730 jar_cache30654.tmp 13.10.2006 12:53 3.493 jar_cache30653.tmp 13.10.2006 12:53 6.026 jar_cache30652.tmp 13.10.2006 12:53 1.829 jar_cache30651.tmp 13.10.2006 12:53 26.763 jar_cache30650.tmp 13.10.2006 12:53 26.657 jar_cache30649.tmp 13.10.2006 12:53 46.187 jar_cache30648.tmp 13.10.2006 12:53 618 jusched.log 12.10.2006 23:08 98.304 gxggmvsv.dll 12.10.2006 23:05 4 PMShared 12.10.2006 22:21 416 java_install_reg.log 15 Datei(en) 466.354 Bytes 0 Verzeichnis(se), 5.101.387.776 Bytes frei windows log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\WINDOWS 13.10.2006 13:26 54.156 QTFont.qfn 13.10.2006 13:25 0 0.log 13.10.2006 13:25 2.048 bootstat.dat 13.10.2006 13:24 32.644 SchedLgU.Txt 12.10.2006 23:04 705 win.ini 12.10.2006 19:41 50 wiaservc.log 12.10.2006 19:41 159 wiadebug.log 11.10.2006 20:20 116 NeroDigital.ini 11.10.2006 18:00 50.522 wmsetup.log 01.10.2006 21:40 1.409 QTFont.for 26.09.2006 13:44 353.482 setupapi.log 23.09.2006 19:07 180.037 setupact.log 23.09.2006 16:56 151 PhotoSnapViewer.INI 27.08.2006 19:16 93.737 iis6.log 27.08.2006 19:16 22.826 comsetup.log 27.08.2006 19:16 13.428 ntdtcsetup.log 27.08.2006 19:16 22.927 tsoc.log 27.08.2006 19:16 1.917 imsins.log 27.08.2006 19:16 1.937 tabletoc.log 27.08.2006 19:16 2.159 ocmsn.log 27.08.2006 19:16 36.657 ocgen.log 27.08.2006 19:16 6.230 netfxocm.log 27.08.2006 19:16 2.222 msgsocm.log 27.08.2006 19:16 29.345 FaxSetup.log 27.08.2006 19:16 20.878 msmqinst.log 27.08.2006 18:55 335 nsreg.dat 15.08.2006 16:41 4.566 imsins.BAK 07.08.2006 13:31 452 wmsetup10.log 07.08.2006 13:30 316.640 WMSysPr9.prx 07.08.2006 13:29 299.552 WMSysPrx.prx 06.08.2006 21:10 6.454 Windows Update.log 06.08.2006 21:08 0 OpPrintServer.INI 06.08.2006 12:42 76.762 DirectX.log 06.08.2006 12:33 400 ODBC.INI 03.08.2006 23:42 0 Sti_Trace.log 03.08.2006 23:39 1.348 regopt.log 03.08.2006 23:39 231 system.ini 03.08.2006 23:38 0 setuperr.log 03.08.2006 23:08 829 OEWABLog.txt 03.08.2006 23:07 731.206 setuplog.txt 03.08.2006 23:07 8.192 REGLOCS.OLD 03.08.2006 23:01 0 control.ini 03.08.2006 23:00 4.161 ODBCINST.INI 03.08.2006 22:58 749 WindowsShell.Manifest 03.08.2006 22:56 1.060 sessmgr.setup.log 03.08.2006 22:55 37 vbaddin.ini 03.08.2006 22:55 36 vb.ini 03.08.2006 22:55 128 DtcInstall.log 87 Datei(en) 6.401.690 Bytes 0 Verzeichnis(se), 5.101.637.632 Bytes frei temp log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\WINDOWS\Temp down log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\WINDOWS\Downloaded Program Files 03.08.2006 22:58 65 desktop.ini 18.07.2006 14:35 151.080 ZIntro.ocx 15 Datei(en) 1.113.820 Bytes 0 Verzeichnis(se), 5.101.637.632 Bytes frei c log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\ 13.10.2006 13:35 0 sys.txt 13.10.2006 13:35 1.077 down nr2.txt 13.10.2006 13:34 1.077 down.txt 13.10.2006 13:34 117 temp nr2.txt 13.10.2006 13:34 117 tmp.txt 13.10.2006 13:33 4.552 windows nr2.txt 13.10.2006 13:32 4.552 system.txt 13.10.2006 13:31 1.042 systemtemp nr2.txt 13.10.2006 13:31 1.042 systemtemp.txt 13.10.2006 13:30 92.690 system32 nr2.txt 13.10.2006 13:29 92.690 system32.txt 13.10.2006 13:25 13.766 avenger.txt 13.10.2006 13:25 267.968.512 hiberfil.sys 13.10.2006 13:25 402.653.184 pagefile.sys 13.10.2006 13:17 1.186 VundoFix.txt 12.10.2006 20:00 1.167 c.txt 12.10.2006 20:00 117 temp.txt 12.10.2006 20:00 4.648 windows.txt 12.10.2006 19:48 10.958 ComboFix.txt 03.08.2006 23:01 0 CONFIG.SYS 03.08.2006 23:01 0 IO.SYS 03.08.2006 23:01 0 MSDOS.SYS 03.08.2006 23:01 0 AUTOEXEC.BAT 03.08.2006 22:46 194 boot.ini 29.08.2002 01:05 235.296 ntldr 27 Datei(en) 671.140.516 Bytes 0 Verzeichnis(se), 5.101.613.056 Bytes frei so bin gespannt wie's aussieht  EDIT wenn ich jetzt I-Explorer öffne bekomme ich KEINE warnung mehr von AntiVir *juhu* Dieser Beitrag wurde am 13.10.2006 um 13:46 Uhr von awtss.dll editiert.
|
|
|
|
|
|
|
13.10.2006, 13:45
Ehrenmitglied
Beiträge: 29434 |
#4
1.
Avenger Zitat Files to delete:2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.10.2006, 13:55
Member
Themenstarter Beiträge: 22 |
#5
AVENGER LOG
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ljjpbbwg ******************* Script file located at: \??\C:\WINDOWS\System32\chnoijav.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\w95inf16.dll deleted successfully. File C:\WINDOWS\system32\w95inf32.dll deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\~DFB826.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\vuxmdmfg.dll deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30655.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30654.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30653.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30652.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30651.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30650.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30649.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\jar_cache30648.tmp deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\gxggmvsv.dll deleted successfully. File C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\PMShared deleted successfully. Completed script processing. ******************* Finished! Terminate. listen.bat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\Windows\System32\Com 03.08.2006 22:56 <DIR> . 03.08.2006 22:56 <DIR> .. 29.08.2002 03:43 186.880 comadmin.dll 18.08.2001 21:00 61.440 comempty.dat 18.08.2001 21:00 77.348 comexp.msc 18.08.2001 21:00 8.192 comrepl.exe 18.08.2001 21:00 5.120 comrereg.exe 18.08.2001 21:00 19.456 mtsadmin.tlb 6 Datei(en) 358.436 Bytes 2 Verzeichnis(se), 5.101.240.320 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\WINDOWS\system32 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\WINDOWS\Downloaded Program Files 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 25.06.2006 12:50 1.793 erma.inf 15.05.2006 18:48 367 LegitCheckControl.inf 29.05.2003 15:00 160.864 messengerstatsclient.dll 06.04.2004 19:03 172.072 MessengerStatsPAClient.dll 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 29.05.2003 15:00 84.064 minesweeper.dll 29.05.2003 15:00 77.408 msgrchkr.dll 03.06.2002 17:53 144 QTPlugin.inf 29.05.2003 15:00 86.112 solitaireshowdown.dll 22.06.2006 11:41 5.032 swflash.inf 02.08.2000 12:33 224 tdserver.inf 02.08.2000 12:26 372.736 tdserver.ocx 18.07.2006 14:35 151.080 ZIntro.ocx 14 Datei(en) 1.113.755 Bytes 0 Verzeichnis(se), 5.101.236.224 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\Programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 Verzeichnis von C:\Dokumente und Einstellungen\info 13.10.2006 13:23 <DIR> . 13.10.2006 13:23 <DIR> .. 19.09.2006 14:34 <DIR> Application Data 07.10.2006 18:50 <DIR> Contacts 29.09.2006 22:52 74 default.pls 13.10.2006 13:52 <DIR> Desktop 13.10.2006 13:20 <DIR> Eigene Dateien 13.10.2006 13:23 462 errorlog.txt 16.09.2006 19:33 <DIR> Favoriten 25.09.2006 19:21 15.428 RefEdit.exd 16.09.2006 19:37 <DIR> Startmen 3 Datei(en) 15.964 Bytes 8 Verzeichnis(se), 5.101.236.224 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08BF-B934 edit (MOD) bitteschön 
|
|
|
|
|
|
|
13.10.2006, 14:03
Ehrenmitglied
Beiträge: 29434 |
#6
Avenger
Zitat Folders to delete:scanne und poste den scanreport http://virus-protect.org/ewido.html ** dann poste hier das log vom HijackThis, aber bitte komplett __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.10.2006, 15:32
Member
Themenstarter Beiträge: 22 |
#7
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\yajyplxn ******************* Script file located at: \??\C:\WINDOWS\lyueqduw.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Folder C:\Dokumente und Einstellungen\info\Lokale Einstellungen\Temp\msohtml1 deleted successfully. Completed script processing. ******************* Finished! Terminate. --------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 15:27:41 13.10.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522} -> Adware.Generic : Gesäubert. HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Gesäubert. HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{052b12f7-86fa-4921-8482-26c42316b522} -> Adware.Generic : Gesäubert. C:\System Volume Information\_restore{D51BEDAA-A668-430A-B143-02AF76EAF939}\RP27\A0064443.dll -> Adware.Softomate : Gesäubert. C:\System Volume Information\_restore{D51BEDAA-A668-430A-B143-02AF76EAF939}\RP27\A0063468.dll -> Downloader.Zlob.tj : Gesäubert. C:\System Volume Information\_restore{D51BEDAA-A668-430A-B143-02AF76EAF939}\RP26\A0054395.hta -> Dropper.Agent.g : Gesäubert. C:\WINDOWS\system32\ib14.dll -> Logger.VB.mz : Gesäubert. C:\System Volume Information\_restore{D51BEDAA-A668-430A-B143-02AF76EAF939}\RP27\A0064571.dll -> Not-A-Virus.Hoax.Win32.Renos.ds : Gesäubert. C:\Dokumente und Einstellungen\info\Cookies\info@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\info\Cookies\info@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert. C:\Dokumente und Einstellungen\info\Cookies\info@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Gesäubert. C:\Dokumente und Einstellungen\info\Cookies\info@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert. C:\avenger\backup-13.10.2006-13.49.34,56.zip/avenger/faxjdphq.dll -> Trojan.BHO.g : Gesäubert. ::Berichtende Logfile of HijackThis v1.99.1 Scan saved at 15:31:08, on 13.10.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Opera\Opera.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Dokumente und Einstellungen\info\Eigene Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {E2EF4013-B977-48BA-9D07-007500F37BB6} - C:\WINDOWS\System32\awtss.dll (file missing) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: (no name) - {821F87FF-8245-4972-9E28-732E92EC2F51} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [Babylon Client] D:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [WinSysModule] dsrss.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.maalaimalar.com/wfplayer/tdserver.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe allerdings habe ich jetzt zwei neue warnungen von AntiVir bekommen C:\System Volume Information\...\A0113969.dll C:\System Volume Information\...\A0113993.dll |
|
|
|
|
|
|
13.10.2006, 15:36
Ehrenmitglied
Beiträge: 29434 |
#8
awtss.dll
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file)«« Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. «« F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.10.2006, 17:23
Member
Themenstarter Beiträge: 22 |
#9
Scanning Report
Friday, October 13, 2006 15:51:56 - 17:21:08 Computer name: INFO-G213A0ENR0 Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ D:\ -------------------------------------------------------------------------------- Result: 7 malware found Alexa (spyware) System Softomate Toolbar (spyware) System Tracking Cookie (spyware) System (Disinfected) System (Submitted) System System System --------------------------- Statistics Scanned: Files: 16891 System: 3722 Not scanned: 3 Actions: Disinfected: 1 Renamed: 0 Deleted: 0 None: 6 Submitted: 1 Files not scanned: C:\HIBERFIL.SYS C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT ------------------------------ Options Scanning engines: F-Secure AVP: 6.0.171, 2006-10-13 F-Secure Libra: 2.4.1, 2006-10-13 F-Secure Orion: 1.2.37, 2006-10-11 F-Secure Blacklight: 1.0.31, 0000-00-00 F-Secure Draco: 1.0.35, 0259-24-212 F-Secure Pegasus: 1.19.0, 2006-08-29 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX Use Advanced heuristics described in it in the F-Secure products/publications without liability. |
|
|
|
|
|
|
13.10.2006, 17:28
Ehrenmitglied
Beiträge: 29434 |
#10
es muesste wieder alles in Ordnung sein
aktiviere wieder die Systemwiederherstellung kommen noch popups ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.10.2006, 17:30
Member
Themenstarter Beiträge: 22 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
mein Hauptproblem steht in meinem namen ^^
ich vermute, dass ich einpaar trojanische Pferde habe…
ich habe das Thema-Erstellungstutorial befolgt:
zu 1. Erstellen eines Hijackthis-Logfiles
ich konnte das programm hijackthis öffnen und ausführen…
allerdings wurde der Editor NICHT ausgeführt als ich auf save log gedrückt habe
(ich würde gerne wissen wie man dieses problem vermeiden kann!)
ich konnte aber screens machen und sie uppen, falls euch das etwas nützt
http://www.bilder-speicher.de/Truda161651.vollbild.html
http://www.bilder-speicher.de/Cyb413090.vollbild.html
zu 2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html
da hat alles geklappt
zu 3. combofix anwenden
hat auch geklappt hier das protokoll:
info - 06-10-12 19:47:14,25 Service Pack 1
ComboFix 06.10.12 - Running from: "C:\Dokumente und Einstellungen\info\Eigene Dateien"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\Programme\msmovies
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{08BFB934-0321-1031-0921-000003270031}
((((((((((((((((((((((((((((((( Files Created from 2006-09-12 to 2006-10-12 ))))))))))))))))))))))))))))))))))
2006-10-11 18:01 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2006-10-11 18:00 733,696 --a------ C:\WINDOWS\system32\ir50_32.dll
2006-10-11 18:00 338,432 --a------ C:\WINDOWS\system32\ir41_qcx.dll
2006-10-11 18:00 198,144 --a------ C:\WINDOWS\system32\ir50_qc.dll
2006-10-11 18:00 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2006-10-11 18:00 181,760 --a------ C:\WINDOWS\system32\ir50_qcx.dll
2006-10-11 18:00 120,320 --a------ C:\WINDOWS\system32\ir41_qc.dll
2006-10-11 17:59 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2006-10-11 17:59 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2006-10-11 17:59 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2006-10-11 17:59 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2006-10-11 17:59 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2006-10-05 14:52 86,036 --a------ C:\WINDOWS\system32\faxjdphq.dll
2006-10-05 14:52 143,380 --a------ C:\WINDOWS\system32\yprwuhbx.exe
2006-09-23 18:38 888,935 ---hs---- C:\WINDOWS\system32\sstwa.ini2
2006-09-17 21:13 887,776 ---hs---- C:\WINDOWS\system32\sstwa.bak2
2006-09-16 19:49 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-09-16 19:49 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-09-16 19:49 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-09-16 19:37 885,960 ---hs---- C:\WINDOWS\system32\sstwa.bak1
2006-09-16 19:37 577,588 --------- C:\WINDOWS\system32\awtss.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-10-12 19:48 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-12 19:15 -------- d-------- C:\Programme\CleanUp!
2006-10-11 17:59 -------- d-------- C:\Programme\Windows Media Player
2006-10-05 19:54 -------- d---s---- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Microsoft
2006-10-05 15:15 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-10-05 14:52 -------- d-------- C:\Programme\VSToolbar
2006-10-05 14:52 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\SearchToolbarCorp
2006-10-03 21:35 -------- d-------- C:\Programme\AOL 9.0
2006-09-30 17:27 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\DeepBurner
2006-09-30 16:46 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Leadertech
2006-09-30 16:32 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\AdobeAUM
2006-09-30 16:32 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Adobe
2006-09-23 12:03 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\ICQ Toolbar
2006-09-14 15:54 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Vso
2006-09-11 19:57 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-09-11 13:46 -------- d-------- C:\Programme\MSN Messenger
2006-09-06 14:20 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Google
2006-09-05 18:00 -------- d-------- C:\Programme\Google
2006-08-30 21:21 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Babylon
2006-08-30 19:35 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Ahead
2006-08-28 13:57 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\teamspeak2
2006-08-27 19:22 -------- d-------- C:\Programme\Viewpoint
2006-08-27 19:22 -------- d-------- C:\Programme\Learn2.com
2006-08-27 19:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Nullsoft
2006-08-27 19:22 -------- d-------- C:\Programme\Gemeinsame Dateien\aolshare
2006-08-27 19:22 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\You've Got Pictures Screensaver
2006-08-27 19:00 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\AOL
2006-08-23 13:45 67984 --a------ C:\Dokumente und Einstellungen\info\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-21 20:46 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\Real
2006-08-21 20:43 -------- d-------- C:\Programme\Real
2006-08-21 20:43 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-08-21 20:43 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-08-16 20:31 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-14 22:01 -------- d-------- C:\Dokumente und Einstellungen\info\Anwendungsdaten\AdobeUM
2006-08-14 21:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-08-14 21:56 -------- d-------- C:\Programme\Adobe
2006-08-13 16:23 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-13 16:10 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-03 23:39 62 --ahs---- C:\Dokumente und Einstellungen\info\Anwendungsdaten\desktop.ini
2006-08-03 23:01 0 -rahs---- C:\MSDOS.SYS
2006-08-03 23:01 0 -rahs---- C:\IO.SYS
2006-08-03 23:01 0 --a------ C:\CONFIG.SYS
2006-08-03 23:01 0 --a------ C:\AUTOEXEC.BAT
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 04:05 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-07-27 04:05 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-07-27 04:05 192512 --a------ C:\WINDOWS\system32\dtu100.dll
2006-07-27 04:05 109568 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-07-27 04:05 108544 --------- C:\WINDOWS\system32\pxcpyi64.exe
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NWEReboot"=""
"NeroFilterCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"Babylon Client"="D:\\Programme\\Babylon\\Babylon-Pro\\Babylon.exe -AutoStart"
"WinSysModule"="dsrss.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"D:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtss
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winppp32
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
Completion time: 06-10-12 19:48:17.15
ComboFix.txt
zu 4. Logfiles mittels datfind.bat erstellen und posten (abkopieren)
hat auch geklappt
system 32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-B934
Verzeichnis von C:\WINDOWS\system32
12.10.2006 19:57 889.291 sstwa.ini2
12.10.2006 19:35 887.776 sstwa.bak2
11.10.2006 18:08 885.960 sstwa.bak1
11.10.2006 18:00 16.832 amcompat.tlb
11.10.2006 18:00 23.392 nscompat.tlb
11.10.2006 17:59 2.272 w95inf16.dll
11.10.2006 17:59 4.608 w95inf32.dll
09.10.2006 13:15 2.206 wpa.dbl
05.10.2006 14:52 143.380 yprwuhbx.exe
05.10.2006 14:52 86.036 faxjdphq.dll
01.10.2006 13:41 224.816 FNTCACHE.DAT
25.09.2006 22:21 0 mcrh.tmp
23.09.2006 18:36 792.211 sstwa.tmp
23.09.2006 17:15 785.464 sstwa.ini
16.09.2006 19:37 577.588 awtss.dll
16.09.2006 19:33 4.286 ot.ico
21.08.2006 20:43 176.167 rmoc3260.dll
21.08.2006 20:43 5.632 pndx5032.dll
21.08.2006 20:43 6.656 pndx5016.dll
21.08.2006 20:43 278.528 pncrt.dll
15.08.2006 16:41 40.128 perfc009.dat
15.08.2006 16:41 311.740 perfh009.dat
15.08.2006 16:41 316.924 perfh007.dat
15.08.2006 16:41 48.354 perfc007.dat
15.08.2006 16:41 722.222 PerfStringBackup.INI
13.08.2006 16:23 43.520 CmdLineExt03.dll
07.08.2006 11:44 7.006 jupdate-1.5.0_06-b05.log
03.08.2006 23:46 0 h323log.txt
03.08.2006 23:08 25.065 wmpscheme.xml
03.08.2006 23:06 261 $winnt$.inf
03.08.2006 23:01 2.951 CONFIG.NT
03.08.2006 22:58 488 WindowsLogon.manifest
03.08.2006 22:58 488 logonui.exe.manifest
03.08.2006 22:58 749 wuaucpl.cpl.manifest
03.08.2006 22:58 749 nwc.cpl.manifest
03.08.2006 22:58 749 ncpa.cpl.manifest
03.08.2006 22:58 749 sapi.cpl.manifest
03.08.2006 22:58 749 cdplayer.exe.manifest
03.08.2006 22:55 21.740 emptyregdb.dat
29.07.2006 19:32 48.936 sirenacm.dll
27.07.2006 04:05 3.596.288 qt-dx331.dll
27.07.2006 04:05 421.888 pxdrv.dll
27.07.2006 04:05 108.544 pxcpyi64.exe
27.07.2006 04:05 109.568 pxinsi64.exe
27.07.2006 04:05 172.032 pxmas.dll
27.07.2006 04:05 372.736 px.dll
27.07.2006 04:05 56.832 pxcpya64.exe
27.07.2006 04:05 61.440 pxhpinst.exe
27.07.2006 04:05 56.320 pxinsa64.exe
27.07.2006 04:05 339.968 pxwave.dll
27.07.2006 04:05 28.672 vxblock.dll
27.07.2006 04:05 73.728 dpl100.dll
27.07.2006 04:05 192.512 dtu100.dll
03.07.2006 23:40 778.240 divx_xx07.dll
03.07.2006 23:40 778.240 divx_xx0c.dll
03.07.2006 23:40 761.856 divx_xx11.dll
03.07.2006 23:40 620.180 DivX.dll
1912 Datei(en) 332.053.372 Bytes
0 Verzeichnis(se), 5.146.071.040 Bytes frei
systemtemp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-B934
Verzeichnis von C:\DOKUME~1\info\LOKALE~1\Temp
12.10.2006 19:48 512 ~DF657A.tmp
12.10.2006 19:48 512 ~DF5B42.tmp
2 Datei(en) 1.024 Bytes
0 Verzeichnis(se), 5.146.107.904 Bytes frei
windows:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-B934
Verzeichnis von C:\WINDOWS
12.10.2006 19:41 50 wiaservc.log
12.10.2006 19:41 159 wiadebug.log
12.10.2006 19:32 0 0.log
12.10.2006 19:31 2.048 bootstat.dat
12.10.2006 19:31 32.644 SchedLgU.Txt
12.10.2006 11:52 54.156 QTFont.qfn
11.10.2006 20:20 116 NeroDigital.ini
11.10.2006 18:00 50.522 wmsetup.log
06.10.2006 15:03 705 win.ini
01.10.2006 21:40 1.409 QTFont.for
26.09.2006 13:44 353.482 setupapi.log
23.09.2006 19:07 180.037 setupact.log
23.09.2006 16:56 151 PhotoSnapViewer.INI
16.09.2006 20:23 170 urls.dat
16.09.2006 20:23 12.343 htmlcode.dat
27.08.2006 19:16 93.737 iis6.log
27.08.2006 19:16 22.826 comsetup.log
27.08.2006 19:16 13.428 ntdtcsetup.log
27.08.2006 19:16 22.927 tsoc.log
27.08.2006 19:16 1.917 imsins.log
27.08.2006 19:16 1.937 tabletoc.log
27.08.2006 19:16 36.657 ocgen.log
27.08.2006 19:16 2.159 ocmsn.log
27.08.2006 19:16 6.230 netfxocm.log
27.08.2006 19:16 2.222 msgsocm.log
27.08.2006 19:16 29.345 FaxSetup.log
27.08.2006 19:16 20.878 msmqinst.log
27.08.2006 18:55 335 nsreg.dat
15.08.2006 16:41 4.566 imsins.BAK
07.08.2006 13:31 452 wmsetup10.log
07.08.2006 13:30 316.640 WMSysPr9.prx
07.08.2006 13:29 299.552 WMSysPrx.prx
06.08.2006 21:10 6.454 Windows Update.log
06.08.2006 21:08 0 OpPrintServer.INI
06.08.2006 12:42 76.762 DirectX.log
06.08.2006 12:33 400 ODBC.INI
03.08.2006 23:42 0 Sti_Trace.log
03.08.2006 23:39 1.348 regopt.log
03.08.2006 23:39 231 system.ini
03.08.2006 23:38 0 setuperr.log
03.08.2006 23:08 829 OEWABLog.txt
03.08.2006 23:07 731.206 setuplog.txt
03.08.2006 23:07 8.192 REGLOCS.OLD
03.08.2006 23:01 0 control.ini
03.08.2006 23:00 4.161 ODBCINST.INI
03.08.2006 22:58 749 WindowsShell.Manifest
03.08.2006 22:56 1.060 sessmgr.setup.log
03.08.2006 22:55 37 vbaddin.ini
03.08.2006 22:55 36 vb.ini
03.08.2006 22:55 128 DtcInstall.log
89 Datei(en) 6.414.203 Bytes
0 Verzeichnis(se), 5.145.509.888 Bytes frei
temp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-B934
Verzeichnis von C:\WINDOWS\Temp
down:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-B934
Verzeichnis von C:\WINDOWS\Downloaded Program Files
03.08.2006 22:58 65 desktop.ini
18.07.2006 14:35 151.080 ZIntro.ocx
25.06.2006 12:50 1.793 erma.inf
22.06.2006 11:41 5.032 swflash.inf
15.05.2006 18:48 367 LegitCheckControl.inf
06.04.2004 19:03 172.072 MessengerStatsPAClient.dll
29.05.2003 15:00 84.064 minesweeper.dll
29.05.2003 15:00 160.864 messengerstatsclient.dll
29.05.2003 15:00 86.112 solitaireshowdown.dll
29.05.2003 15:00 77.408 msgrchkr.dll
03.06.2002 17:53 144 QTPlugin.inf
02.08.2000 12:33 224 tdserver.inf
02.08.2000 12:26 372.736 tdserver.ocx
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
15 Datei(en) 1.113.820 Bytes
0 Verzeichnis(se), 5.145.497.600 Bytes frei
c:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-B934
Verzeichnis von C:\
12.10.2006 20:00 0 sys.txt
12.10.2006 20:00 1.077 down.txt
12.10.2006 20:00 117 temp.txt
12.10.2006 20:00 117 tmp.txt
12.10.2006 20:00 4.648 windows.txt
12.10.2006 19:59 4.648 system.txt
12.10.2006 19:58 340 systemtemp.txt
12.10.2006 19:57 93.265 system32.txt
12.10.2006 19:55 105 c.txt
12.10.2006 19:48 10.958 ComboFix.txt
12.10.2006 19:31 267.968.512 hiberfil.sys
12.10.2006 19:31 402.653.184 pagefile.sys
03.08.2006 23:01 0 CONFIG.SYS
03.08.2006 23:01 0 AUTOEXEC.BAT
03.08.2006 23:01 0 IO.SYS
03.08.2006 23:01 0 MSDOS.SYS
03.08.2006 22:46 194 boot.ini
20 Datei(en) 671.024.993 Bytes
0 Verzeichnis(se), 5.145.493.504 Bytes frei
zu 5. Problembeschreibung / Symptome ?
C:\WINDOWS\System32\awtss.dll
Trojanisches Pferd TR/Vundo.Gen
C:\WINDOWS\System32\faxjdphq.dll
Trojanisches Pferd TR/BHO.G.1
C:\DOKUME~1\info\LOKALE~1\Temp\uqgrokgc.dll
Trojanisches Pferd TR/Spy.VBStat.E.1
C:\DOKUME~1\info\LOKALE~1\Temp\exxtarlm.dll
Trojanisches Pferd TR/Spy.VBStat.E.1
C:\DOKUME~1\info\LOKALE~1\Temp\stbwyhrv.dll
Trojanisches Pferd TR/Spy.VBStat.E.1
C:\DOKUME~1\info\LOKALE~1\Temp\ytqjmiac.dll
Trojanisches Pferd TR/Spy.VBStat.E.1
C:\DOKUME~1\info\LOKALE~1\Temp\fckfqfmo.dll
Trojanisches Pferd TR/Spy.VBStat.E.1
C:\DOKUME~1\info\LOKALE~1\Temp\faxjdphq.dll
Trojanisches Pferd TR/Spy.VBStat.E.1
^
^
^
^
^
diese meldungen bekomme ich wenn ich z.B. Internet Explorer öffne von meinem anti-virus prog. AntiVir PE Classic von Avira
ich habe schon gelesen, dass es eine möglichkeit gibt antivir etwas "härter" einzustellen aber ich habe angst das ich dann etwas falsches lösche oder so...
hoffe hab alles richtig gemacht und das ihr mir helfen könnt
MfG Frank