Tr/vundo.gen,worm/sdbot.62048, Worm/banwarum.f.17

#1 hilfe,

ich kenne mich mit Computer nicht aus. jetzt habe ich nur mehr Probleme mit meinem Computer. Personal Antivir findet ständig Viren:

windows\system32\adir.dll --> worm/Banwarum.F.17
awtgnkh.dll --> TR/Vundo.Gen
ddcccdd.dll --> den gleiche
hgggdab.dll --> der gleiche
windows\ kq72.exe --> WORM/sdbot.62048
windows\ kq82.exe --> WORM/sdbot.61005

zusätzlich öffnen sich ständig Popup fenster im Mozilla.

bitte um Hilfe.
Wie soll ich vorgehen?

Danke.

#2 02pichle

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\system32

14.10.2006 21:54 472.153 gfhkj.ini
14.10.2006 20:35 236.863 nilanui.dll
14.10.2006 18:19 235.042 f82m0if1e82.dll
14.10.2006 18:14 236.863 en28l1fu1.dll
14.10.2006 18:14 0 atmtd.dll.tmp
14.10.2006 16:19 62.336 setup_25753.exe
14.10.2006 16:19 69 i
14.10.2006 16:10 40.973 fccabba.dll
14.10.2006 16:00 62.336 setup_68113.exe
14.10.2006 15:54 40.973 ddcywuv.dll
14.10.2006 15:14 62.336 setup_06273.exe
14.10.2006 15:06 40.973 wvuurrr.dll
14.10.2006 15:06 235.042 p4r4le9q1h.dll
14.10.2006 13:34 62.336 setup_66644.exe
14.10.2006 13:32 40.973 wvuvwus.dll
14.10.2006 10:11 235.042 ir2ml5f11.dll
14.10.2006 10:08 235.042 ttcfgwmi.dll
14.10.2006 09:42 2.184 tool_de[1].log
14.10.2006 08:25 235.215 fppm0371e.dll
14.10.2006 08:23 4.212 zllictbl.dat
14.10.2006 08:16 233.988 cxpbk32.dll
14.10.2006 08:16 235.028 g040lahm1d4a.dll
14.10.2006 08:08 233.988 wtssvc.dll
14.10.2006 08:08 235.103 irjml5111.dll
14.10.2006 08:05 415.969 gfhkj.ini2
14.10.2006 07:55 235.904 m6julg1916.dll
14.10.2006 07:48 233.988 hJ23msp.dll
13.10.2006 19:41 0 mcrh.tmp
13.10.2006 19:40 237.265 p4n80e5ueh.dll
13.10.2006 19:32 406.990 gfhkj.bak2
13.10.2006 19:28 40.973 ljjklmk.dll
13.10.2006 19:21 98.324 qieskgxk.dll
13.10.2006 19:19 237.265 duprov.dll
13.10.2006 19:18 98.324 rlirqjff.dll
13.10.2006 15:06 98.324 nyjmimay.dll
13.10.2006 15:06 233.872 lv0s09d7e.dll
13.10.2006 12:56 234.231 r66ulgj916o.dll
13.10.2006 12:47 237.265 ktdlt1.dll
13.10.2006 12:47 234.133 enpsl1771.dll
13.10.2006 12:33 237.265 FF20DEU.DLL
13.10.2006 12:33 237.269 c4000edmeh0a0.dll
13.10.2006 11:21 235.805 lv4209hoe.dll
13.10.2006 10:35 1.259 aaa00000.sys
13.10.2006 10:34 235.805 muxlegih.dll
13.10.2006 10:34 234.239 t28ulcl91fq.dll
12.10.2006 20:48 82 drrm.bat
12.10.2006 20:27 61.005 setup_03212.exe
12.10.2006 20:06 235.677 uebui.dll
12.10.2006 19:55 40.973 awtqnkh.dll
12.10.2006 18:50 98.324 ksmsqlkg.dll
12.10.2006 18:50 414.321 gfhkj.bak1
12.10.2006 18:50 684.084 jkhfg.dll
12.10.2006 18:37 234.126 shrstr.dll
12.10.2006 17:48 236.528 i8240ifqe82e0.dll
12.10.2006 17:31 61.005 setup_67327.exe
12.10.2006 14:33 234.885 ajifile.dll
12.10.2006 14:22 417.746 abeeg.ini
12.10.2006 13:47 143.380 vrbcjlvm.exe
12.10.2006 13:47 98.324 djsxshkr.dll
12.10.2006 13:47 414.321 abeeg.bak1
12.10.2006 13:03 234.885 cjcdll.dll
12.10.2006 09:10 234.536 lv2409fqe.dll
12.10.2006 08:55 44 stdole3.tlb
12.10.2006 08:36 0 setup_06765.exe
12.10.2006 08:10 1.233 ijeb116b.sys
12.10.2006 07:10 234.416 h44m0eh1eh4.dll
12.10.2006 07:10 235.567 irr2l59o1.dll
11.10.2006 20:04 16.384 dr1.exe
10.10.2006 16:14 61.005 setup_22875.exe
10.10.2006 15:53 61.005 setup_47556.exe
10.10.2006 11:59 61.005 setup_36174.exe
10.10.2006 10:43 0 setup_74783.exe
09.10.2006 20:37 61.005 setup_05804.exe
09.10.2006 16:37 0 setup_32511.exe
09.10.2006 14:49 61.005 setup_62478.exe
09.10.2006 14:39 61.005 setup_18470.exe
09.10.2006 13:59 61.005 setup_54647.exe
09.10.2006 13:18 61.005 setup_42822.exe
09.10.2006 11:21 137 pyhvlq.bat
08.10.2006 17:59 62.048 setup_14162.exe
08.10.2006 16:36 62.048 setup_38212.exe
08.10.2006 14:09 62.048 setup_12814.exe
07.10.2006 16:28 62.048 setup_53256.exe
07.10.2006 12:47 62.048 setup_08342.exe
07.10.2006 12:10 28.672 NETServ.exe
06.10.2006 16:38 62.048 setup_24824.exe
06.10.2006 16:37 62.048 setup_37760.exe
06.10.2006 08:34 0 setup_38210.exe
06.10.2006 00:07 46.592 zlbw.dll
06.10.2006 00:07 8.456 taskdir~.exe
06.10.2006 00:05 4 winsub.xml
06.10.2006 00:05 62 svcp.csv
05.10.2006 16:20 62.048 setup_58341.exe
05.10.2006 13:18 119 prjxsx.bat
05.10.2006 13:04 127 hekextuq.bat
05.10.2006 12:23 122 gtkixd.bat
05.10.2006 12:12 0 inistone.ini
05.10.2006 12:06 127 seozdkzp.bat
04.10.2006 13:12 122 ydlphj.bat
04.10.2006 12:48 119 xrdzjg.bat
04.10.2006 12:21 127 wxxxzlqu.bat
04.10.2006 11:53 127 ebkld.bat
03.10.2006 17:30 127 gfixz.bat
03.10.2006 17:28 0 k.exe
30.09.2006 22:13 16 servdat.slm
30.09.2006 22:13 354 lsprst7.tgz
30.09.2006 22:13 340 lsprst7.dll
30.09.2006 21:23 87 ssprs.tgz
30.09.2006 21:23 73 ssprs.dll
27.09.2006 10:23 0 ansi.cfg
26.09.2006 10:22 118.784 pdfmona.dll
26.09.2006 10:22 51.716 pdf995mon.dll
25.09.2006 07:26 112.584 FNTCACHE.DAT
24.09.2006 22:20 1.025 clauth2.dll
24.09.2006 22:20 1.025 clauth1.dll
24.09.2006 22:20 1.025 sysprs7.tgz
24.09.2006 22:20 1.025 sysprs7.dll
21.09.2006 00:26 2.184 wpa.dbl
06.08.2006 10:53 3.645 qtplugin.log

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

14.10.2006 21:54 289 datFind.zip
1 Datei(en) 289 Bytes
0 Verzeichnis(se), 54.489.389.056 Bytes frei



Verzeichnis von C:\WINDOWS

14.10.2006 20:53 42.736 icont.exe
14.10.2006 20:32 0 0.log
14.10.2006 20:31 159 wiadebug.log
14.10.2006 20:31 50 wiaservc.log
14.10.2006 20:31 2.048 bootstat.dat
14.10.2006 18:44 32.604 SchedLgU.Txt
14.10.2006 16:10 59.073 Desktop.exe
14.10.2006 15:54 0 keyboard1.dat
14.10.2006 10:13 2.250.596 ntbtlog.txt
13.10.2006 19:31 1.855 OEWABLog.txt
13.10.2006 19:31 82.649 wmsetup.log
13.10.2006 19:28 62.336 kq92.exe
12.10.2006 19:09 6.104 ModemLog_Bluetooth DUN Modem.txt
12.10.2006 19:09 6.098 ModemLog_Bluetooth Fax Modem.txt
12.10.2006 07:42 116 NeroDigital.ini
11.10.2006 23:20 44 drsmartload2.dat
11.10.2006 23:20 40 teller2.chk
11.10.2006 23:20 0 newname.dat
08.10.2006 17:13 54.156 QTFont.qfn
08.10.2006 17:12 1.136.663 setupapi.log
06.10.2006 08:01 10 smdat32m.sys
06.10.2006 00:47 0 smdat32a.sys
05.10.2006 11:28 62.528 ipv7.exe
05.10.2006 10:53 1.409 QTFont.for
03.10.2006 18:53 2.560 _MSRSTRT.EXE
29.09.2006 13:29 49 wpd99.drv
26.09.2006 10:27 28 pdf995.ini
21.09.2006 09:21 10.812 mozver.dat
20.08.2006 17:14 0 MEMORY.DMP

#4 Verzeichnis von C:\WINDOWS\Temp

14.10.2006 22:04 24.296 bw2.com
1 Datei(en) 24.296 Bytes
0 Verzeichnis(se), 54.488.919.040 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.05.2006 17:05 147 startbd.inf
27.03.2006 13:00 5.019 swflash.inf
24.03.2006 18:40 1.455.864 ICSScan.dll
24.03.2006 10:03 470 ICSScanner.inf
22.03.2006 17:49 131 eied.inf
10.11.2005 16:20 137 _ipsec_.inf


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\

14.10.2006 22:10 0 sys.txt
14.10.2006 22:10 807 down.txt
14.10.2006 22:09 272 tmp.txt
14.10.2006 22:09 7.064 system.txt
14.10.2006 22:09 344 systemtemp.txt
14.10.2006 22:09 103.707 system32.txt
14.10.2006 22:07 113.239 dirdat.txt
14.10.2006 20:31 402.653.184 pagefile.sys
14.10.2006 15:54 671.985 deskbar_e29.exe
14.10.2006 15:54 372.736 kybrdff_e29.exe
14.10.2006 15:54 372.736 kybrdff_e28.exe
14.10.2006 15:54 69.632 drsmartload.exe
14.10.2006 15:30 39.710 History_02pichler.dat
14.10.2006 15:30 355 VoiceEngine.xml
14.10.2006 09:37 187 VundoFix.txt
13.10.2006 19:28 356.352 nwnmff_e28.exe
12.10.2006 20:58 522 hpfr3420.xml
12.10.2006 20:58 114.538 hpfr3425.log
12.10.2006 14:34 69.165 pp4ico.exe
05.10.2006 12:12 0 uniq
25.09.2006 18:24 1.045.876 BB_controlling_berater.pdf
24.09.2006 19:20 2.358.319 Niels_Pflaeging.pdf
24.09.2006 19:17 1.055.577 beyond_budgeting_krp_jdaum.pdf
24.09.2006 19:00 1.291.966 beyond_budgeting_jdaum_cc2003.pdf#search=%22www.juergendaum.de%2Farticles%2Fbeyond_budgeting_jdaum_cc2003.pdf
19.09.2006 11:00 251.352 deskbar.exe
06.08.2006 13:20 1.178 INSTALL.LOG


«

#5 1.
Vundofix abarbeiten
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Look2Me-Destroyer V1.0.5 - abarbeiten
http://virus-protect.org/l2mfix.html

3.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html


dann poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#6 PC nach Schritt 1 usw. immer wieder neu starten so wie es die Programme fordern?

#7 ja, du musst alle 3 Punkte so abarbeiten, wie beschrieben, und alle logs hier posten.
dann, wenn alles fertig ist, poste noch mal die 6 logs von datfindbat, dann suche ich die viren raus, die noch uebriggeblieben sind
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Stefan - 14.10.2006 22:41:46,44 Service Pack 1
ComboFix 06.10.14.1 - Running from: "C:\Dokumente und Einstellungen\Stefan\Desktop"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\FF20DEU.DLL


Granting sedebugprivilege to Administratoren ... successful


((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Dxcknwrd.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\teller2.chk
C:\dfndrff_e29.exe
C:\drsmartload.exe
C:\deskbar.exe
C:\deskbar_e29.exe
C:\kybrdff_e28.exe
C:\kybrdff_e29.exe
C:\MTE3NDI6ODoxNg.exe
C:\nwnmff_e28.exe
C:\mte3ndi6odoxng.exe
C:\WINDOWS\system32\aaa00000.sys
C:\WINDOWS\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Deskbar
C:\Programme\network monitor


((((((((((((((((((((((((((((((( Files Created from 2014-09-06 to 2014.10.2006 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]



(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"VoipBuster"="\"C:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe\" -nosplash -minimized"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"stonedrv"="c:\\windows\\system32\\stonedrv.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"PMXInit"="C:\\WINDOWS\\System32\\pmxinit.exe"
"C-Media Mixer"="Mixer.exe /startup"
"GSICONEXE"="GSICON.EXE"
"DSLAGENTEXE"="dslagent.exe USB"
"RemoteControl"="C:\\WINDOWS\\System32\\rmctrl.exe"
"SoundMan"="SOUNDMAN.EXE"
"PhilipsDM"="\"C:\\Programme\\Philips\\Philips Device Manager\\Bin\\DeviceManager.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"itunesff"="C:\\WINDOWS\\system32\\itunesff.exe -go -c95 -w"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Spooler SubSystem App"="C:\\WINDOWS\\System32\\spoolsvc.exe"
"stonedrv"="c:\\windows\\system32\\stonedrv.exe"
"SvcManager"="iexploer0.exe"
"SemanticInsight"="C:\\Programme\\RXToolBar\\Semantic Insight\\SemanticInsight.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"stonedrv"="c:\\windows\\system32\\stonedrv.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"taskdir"="C:\\WINDOWS\\System32\\taskdir.exe"
"shell"="\"C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Web Folders\\ibm00007.exe\""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"taskdir"="C:\\WINDOWS\\System32\\taskdir.exe"
"shell"="\"C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Web Folders\\ibm00007.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{62eb0924-19d2-4226-b4b9-8ad1f70904c1}"="bronchovascular"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{CC1A2C48-84F4-4DAC-AEAC-41DF6344C84D}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"SystemCheck2"="{54645654-2225-4455-44A1-9F4543D34546}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccabba
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjkhf

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1146314536.job

Completion time: 14.10.2006 22:45:04,12
C:\ComboFix.txt ... 14.10.2006 22:45
C:\ComboFix2.txt ... 14.10.2006 22:37

#9 nun poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#10 so die 6 logs


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\system32

14.10.2006 22:46 40.973 pmnlmkj.dll
14.10.2006 22:43 687.592 atmtd.dll
14.10.2006 22:43 687.592 atmtd.dll._
14.10.2006 22:43 62.336 setup_82760.exe
14.10.2006 22:43 70 i
14.10.2006 22:43 40.973 khffcdc.dll
14.10.2006 22:32 62.336 setup_64172.exe
14.10.2006 22:24 40.973 gebbyyx.dll
14.10.2006 22:20 40.973 vturqrr.dll
14.10.2006 22:17 9.216 VundoFixSVC.exe
14.10.2006 16:19 62.336 setup_25753.exe
14.10.2006 16:10 40.973 fccabba.dll
14.10.2006 16:00 62.336 setup_68113.exe
14.10.2006 15:54 40.973 ddcywuv.dll
14.10.2006 15:14 62.336 setup_06273.exe
14.10.2006 15:06 40.973 wvuurrr.dll
14.10.2006 13:34 62.336 setup_66644.exe
14.10.2006 13:32 40.973 wvuvwus.dll
14.10.2006 09:42 2.184 tool_de[1].log
14.10.2006 08:23 4.212 zllictbl.dat
13.10.2006 19:41 0 mcrh.tmp
13.10.2006 19:28 40.973 ljjklmk.dll
12.10.2006 20:48 82 drrm.bat
12.10.2006 20:27 61.005 setup_03212.exe
12.10.2006 19:55 40.973 awtqnkh.dll
12.10.2006 17:31 61.005 setup_67327.exe
12.10.2006 14:22 417.746 abeeg.ini
12.10.2006 13:47 414.321 abeeg.bak1
12.10.2006 08:55 44 stdole3.tlb
12.10.2006 08:36 0 setup_06765.exe
12.10.2006 08:10 1.233 ijeb116b.sys
11.10.2006 20:04 16.384 dr1.exe
10.10.2006 16:14 61.005 setup_22875.exe
10.10.2006 15:53 61.005 setup_47556.exe
10.10.2006 11:59 61.005 setup_36174.exe
10.10.2006 10:43 0 setup_74783.exe
09.10.2006 20:37 61.005 setup_05804.exe
09.10.2006 16:37 0 setup_32511.exe
09.10.2006 14:49 61.005 setup_62478.exe
09.10.2006 14:39 61.005 setup_18470.exe
09.10.2006 13:59 61.005 setup_54647.exe
09.10.2006 13:18 61.005 setup_42822.exe
09.10.2006 11:21 137 pyhvlq.bat
08.10.2006 17:59 62.048 setup_14162.exe
08.10.2006 16:36 62.048 setup_38212.exe
08.10.2006 14:09 62.048 setup_12814.exe
07.10.2006 16:28 62.048 setup_53256.exe
07.10.2006 12:47 62.048 setup_08342.exe
07.10.2006 12:10 28.672 NETServ.exe
06.10.2006 16:38 62.048 setup_24824.exe
06.10.2006 16:37 62.048 setup_37760.exe
06.10.2006 08:34 0 setup_38210.exe
06.10.2006 00:07 46.592 zlbw.dll
06.10.2006 00:07 8.456 taskdir~.exe
06.10.2006 00:05 4 winsub.xml
06.10.2006 00:05 62 svcp.csv
05.10.2006 16:20 62.048 setup_58341.exe
05.10.2006 13:18 119 prjxsx.bat
05.10.2006 13:04 127 hekextuq.bat
05.10.2006 12:23 122 gtkixd.bat
05.10.2006 12:12 0 inistone.ini
05.10.2006 12:06 127 seozdkzp.bat
04.10.2006 13:12 122 ydlphj.bat
04.10.2006 12:48 119 xrdzjg.bat
04.10.2006 12:21 127 wxxxzlqu.bat
04.10.2006 11:53 127 ebkld.bat
03.10.2006 17:30 127 gfixz.bat
03.10.2006 17:28 0 k.exe
30.09.2006 22:13 16 servdat.slm
30.09.2006 22:13 354 lsprst7.tgz
30.09.2006 22:13 340 lsprst7.dll
30.09.2006 21:23 87 ssprs.tgz
30.09.2006 21:23 73 ssprs.dll
27.09.2006 10:23 0 ansi.cfg
26.09.2006 10:22 118.784 pdfmona.dll
26.09.2006 10:22 51.716 pdf995mon.dll
25.09.2006 07:26 112.584 FNTCACHE.DAT
24.09.2006 22:20 1.025 clauth1.dll
24.09.2006 22:20 1.025 clauth2.dll
24.09.2006 22:20 1.025 sysprs7.tgz
24.09.2006 22:20 1.025 sysprs7.dll
21.09.2006 00:26 2.184 wpa.dbl
06.08.2006 10:53 3.645 qtplugin.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

14.10.2006 22:47 289 datFind.zip
1 Datei(en) 289 Bytes
0 Verzeichnis(se), 54.643.542.528 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS

14.10.2006 22:46 59.073 Desktop.exe
14.10.2006 22:44 0 0.log
14.10.2006 22:44 50 wiaservc.log
14.10.2006 22:44 159 wiadebug.log
14.10.2006 22:44 2.048 bootstat.dat
14.10.2006 22:40 32.604 SchedLgU.Txt
14.10.2006 22:04 24.296 icont.exe
14.10.2006 15:54 0 keyboard1.dat
14.10.2006 10:13 2.250.596 ntbtlog.txt
13.10.2006 19:31 1.855 OEWABLog.txt
13.10.2006 19:31 82.649 wmsetup.log
13.10.2006 19:28 62.336 kq92.exe
12.10.2006 19:09 6.104 ModemLog_Bluetooth DUN Modem.txt
12.10.2006 19:09 6.098 ModemLog_Bluetooth Fax Modem.txt
12.10.2006 07:42 116 NeroDigital.ini
11.10.2006 23:20 0 newname.dat
08.10.2006 17:13 54.156 QTFont.qfn
08.10.2006 17:12 1.136.663 setupapi.log
06.10.2006 08:01 10 smdat32m.sys
06.10.2006 00:47 0 smdat32a.sys
05.10.2006 11:28 62.528 ipv7.exe
05.10.2006 10:53 1.409 QTFont.for
03.10.2006 18:53 2.560 _MSRSTRT.EXE
29.09.2006 13:29 49 wpd99.drv
26.09.2006 10:27 28 pdf995.ini
21.09.2006 09:21 10.812 mozver.dat
20.08.2006 17:14 0 MEMORY.DMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Temp

14.10.2006 22:47 43 removalfile.bat
1 Datei(en) 43 Bytes
0 Verzeichnis(se), 54.643.542.016 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.05.2006 17:05 147 startbd.inf
27.03.2006 13:00 5.019 swflash.inf
24.03.2006 18:40 1.455.864 ICSScan.dll
24.03.2006 10:03 470 ICSScanner.inf
22.03.2006 17:49 131 eied.inf
10.11.2005 16:20 137 _ipsec_.inf
21.10.2005 15:09 130 proto.inf
18.01.2005 14:05 361 MirarSetup.inf
28.11.2002 01:29 65 desktop.ini
15.11.2002 13:23 901 iuctl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
11 Datei(en) 1.464.387 Bytes
0 Verzeichnis(se), 54.643.539.968 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\

14.10.2006 22:49 0 sys.txt
14.10.2006 22:49 807 down.txt
14.10.2006 22:48 280 tmp.txt
14.10.2006 22:48 6.961 system.txt
14.10.2006 22:48 293 systemtemp.txt
14.10.2006 22:47 101.896 system32.txt
14.10.2006 22:46 69.632 drsmartload.exe
14.10.2006 22:45 7.111 ComboFix.txt
14.10.2006 22:44 402.653.184 pagefile.sys
14.10.2006 22:43 372.736 kybrdff_e28.exe
14.10.2006 22:43 364.544 dfndrff_e29.exe
14.10.2006 22:43 360.448 nwnmff_e28.exe
14.10.2006 22:43 25.105 MTE3NDI6ODoxNg.exe
14.10.2006 22:43 671.985 deskbar_e29.exe
14.10.2006 22:37 138 ComboFix2.txt
14.10.2006 22:20 578.560 Installer4.exe
14.10.2006 22:18 2.167 VundoFix.txt
14.10.2006 22:07 113.239 dirdat.txt
14.10.2006 15:30 39.710 History_02pichler.dat
14.10.2006 15:30 355 VoiceEngine.xml
12.10.2006 20:58 522 hpfr3420.xml
12.10.2006 20:58 114.538 hpfr3425.log
12.10.2006 14:34 69.165 pp4ico.exe
05.10.2006 12:12 0 uniq
25.09.2006 18:24 1.045.876 BB_controlling_berater.pdf
24.09.2006 19:20 2.358.319 Niels_Pflaeging.pdf
24.09.2006 19:17 1.055.577 beyond_budgeting_krp_jdaum.pdf
24.09.2006 19:00 1.291.966 beyond_budgeting_jdaum_cc2003.pdf#search=%22www.juergendaum.de%2Farticles%2Fbeyond_budgeting_jdaum_cc2003.pdf
19.09.2006 11:00 251.352 deskbar.exe
06.08.2006 13:20 1.178 INSTALL.LOG
06.05.2006 13:52 14 config.sy_
01.12.2002 22:52 11.558 drwtsn32.log
29.11.2002 01:22 47.580 NTDETECT.COM
29.11.2002 01:22 235.296 ntldr
28.11.2002 01:30 0 IO.SYS
28.11.2002 01:30 0 MSDOS.SYS
28.11.2002 01:30 0 CONFIG.SYS
28.11.2002 01:30 0 AUTOEXEC.BAT
28.11.2002 01:24 194 boot.ini
28.11.2002 01:05 512 BOOTSECT.DOS
23.08.2001 14:00 4.952 bootfont.bin
41 Datei(en) 411.857.750 Bytes
0 Verzeichnis(se), 54.643.537.920 Bytes frei

#11 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#12 V Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

12.10.2006 20:33 <DIR> .
12.10.2006 20:33 <DIR> ..
01.12.2002 00:08 <DIR> 1031
01.12.2002 00:08 <DIR> 1033
10.10.2006 12:06 1.024 ibm00017.exe
10.10.2006 12:06 65.536 ibm00018.dll

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.03.2006 17:49 131 eied.inf
24.03.2006 18:40 1.455.864 ICSScan.dll
24.03.2006 10:03 470 ICSScanner.inf
15.11.2002 13:23 901 iuctl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
18.01.2005 14:05 361 MirarSetup.inf
21.10.2005 15:09 130 proto.inf
17.05.2006 17:05 147 startbd.inf
27.03.2006 13:00 5.019 swflash.inf
10.11.2005 16:20 137 _ipsec_.inf
10 Datei(en) 1.464.322 Bytes
0 Verzeichnis(se), 54.641.976.320 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Dokumente und Einstellungen\Stefan



Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Eigene Dateien

28.05.2006 20:10 <DIR> Meine empfangenen Dateien
28.08.2006 09:12 <DIR> tctool
06.07.2006 09:33 357.888 Witternigg_Endbericht.doc
18.05.2006 13:16 49.152 zwischenbericht.doc
17 Datei(en) 9.908.512 Bytes
20 Verzeichnis(se), 54.641.973.248 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Program Files

06.10.2006 08:01 <DIR> .
06.10.2006 08:01 <DIR> ..
30.11.2002 22:14 <DIR> ZyXEL
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 54.641.972.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp

14.10.2006 23:03 <DIR> .
14.10.2006 23:03 <DIR> ..
14.10.2006 22:47 289 datFind.zip
14.10.2006 22:55 206 jusched.log
2 Datei(en) 495 Bytes
2 Verzeichnis(se), 54.641.972.224 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Temp

14.10.2006 23:03 <DIR> .
14.10.2006 23:03 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 54.641.971.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Programme

14.10.2006 22:43 <DIR> .
14.10.2006 22:43 <DIR> ..
01.12.2002 18:29 <DIR> Adobe
29.04.2006 14:56 <DIR> Ahead
06.08.2006 10:52 <DIR> ArcSoft
29.04.2006 14:30 <DIR> AvRack
14.10.2006 15:53 <DIR> BearShare
14.10.2006 22:22 <DIR> CleanUp!
28.11.2002 01:27 <DIR> ComPlus Applications
01.12.2002 17:56 <DIR> CyberLink
14.10.2006 22:43 <DIR> Deskbar
28.05.2006 20:34 <DIR> DirektFotoSystem
13.10.2006 19:39 <DIR> Gemeinsame Dateien
29.04.2006 14:42 <DIR> Hewlett-Packard
29.11.2002 01:24 <DIR> Internet Explorer
29.04.2006 14:43 <DIR> IVT Corporation
06.05.2006 19:30 <DIR> Java
03.10.2006 10:10 <DIR> Lavasoft
29.11.2002 01:26 <DIR> Messenger
28.11.2002 01:30 <DIR> microsoft frontpage
01.12.2002 00:07 <DIR> Microsoft Office
29.11.2002 02:57 <DIR> Movie Maker
14.10.2006 23:04 <DIR> Mozilla Firefox
28.11.2002 01:27 <DIR> MSN
28.11.2002 01:26 <DIR> MSN Gaming Zone
29.04.2006 19:22 <DIR> MSN Messenger
06.10.2006 00:49 <DIR> Need2Find
29.11.2002 01:24 <DIR> NetMeeting
03.07.2006 08:25 <DIR> Netscape
13.10.2006 19:39 <DIR> Network Associates
14.10.2006 22:43 <DIR> Network Monitor
06.08.2006 10:55 <DIR> Nikon
01.12.2002 12:45 <DIR> OfficeUpdate
28.11.2002 01:27 <DIR> Online Services
28.11.2002 01:28 <DIR> Online-Dienste
30.08.2006 06:58 <DIR> Outlook Express
26.09.2006 10:22 <DIR> pdf995
29.04.2006 14:46 <DIR> Philips
23.08.2006 08:45 <DIR> QuickTime
29.04.2006 14:30 <DIR> Realtek Sound Manager
29.04.2006 14:28 <DIR> SEC
15.06.2006 14:05 <DIR> Security Toolbar
14.10.2006 08:31 <DIR> Shareaza
08.05.2006 16:10 <DIR> Skype
30.09.2006 21:23 <DIR> SPSS
06.10.2006 00:49 233.472 Uninstall Need2Find Bar.dll
03.07.2006 08:28 <DIR> Viewpoint
29.04.2006 19:33 <DIR> VoipStunt.com
30.11.2002 21:41 <DIR> Windows Application Compatibility Toolkit
05.06.2006 08:44 <DIR> Windows Media Player
28.11.2002 01:26 <DIR> Windows NT
01.12.2002 17:53 <DIR> WinRAR
28.11.2002 01:30 <DIR> xerox
1 Datei(en) 233.472 Bytes
52 Verzeichnis(se), 54.641.967.104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten

25.05.2006 20:02 <DIR> Ahead
29.09.2006 19:34 8.704 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16.08.2006 19:09 <DIR> Help
29.04.2006 19:26 <DIR> Identities
01.12.2002 21:57 <DIR> Microsoft
29.04.2006 19:08 <DIR> Mozilla
14.10.2006 08:31 <DIR> Shareaza
1 Datei(en) 8.704 Bytes
6 Verzeichnis(se), 54.641.967.104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten

01.12.2002 22:14 <DIR> Adobe
06.08.2006 11:16 <DIR> ArcSoft
01.05.2006 09:46 <DIR> digital publishing
27.09.2006 00:33 18.360 GDIPFONTCACHEV1.DAT
16.08.2006 19:09 <DIR> Help
29.04.2006 14:42 <DIR> Hewlett-Packard
01.12.2002 21:57 <DIR> Identities
03.10.2006 10:11 <DIR> Lavasoft
29.04.2006 19:16 <DIR> Macromedia
03.07.2006 08:29 <DIR> Mozilla
06.08.2006 11:20 <DIR> Nikon
26.09.2006 10:27 <DIR> pdf995
12.10.2006 13:47 <DIR> SearchToolbarCorp
14.10.2006 08:31 <DIR> Shareaza
14.10.2006 23:03 <DIR> Skype
06.05.2006 19:30 <DIR> Sun
30.09.2006 20:42 <DIR> U3
29.04.2006 22:39 <DIR> VoipStunt
1 Datei(en) 18.360 Bytes
17 Verzeichnis(se), 54.641.966.080 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

29.04.2006 21:17 305 addr_file.html
29.04.2006 14:52 <DIR> Ahead
01.05.2006 20:48 <DIR> Bluetooth
01.12.2002 17:56 <DIR> CyberLink
29.04.2006 14:42 188 hpzinstall.log
29.09.2006 13:29 <DIR> pdf995
15.08.2006 12:42 <DIR> QuickTime
08.05.2006 16:10 <DIR> Skype
2 Datei(en) 493 Bytes
6 Verzeichnis(se), 54.641.966.592 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.10.2006 19:39 <DIR> .
13.10.2006 19:39 <DIR> ..
01.12.2002 18:30 <DIR> Adobe
29.04.2006 14:53 <DIR> Ahead
01.12.2002 00:08 <DIR> Designer
28.11.2002 01:28 <DIR> Dienste
29.04.2006 14:37 <DIR> Hewlett-Packard
24.09.2006 22:07 <DIR> InstallShield
06.05.2006 19:28 <DIR> Java
01.12.2002 12:28 <DIR> Microsoft Shared
28.11.2002 01:28 <DIR> MSSoap
06.08.2006 11:20 <DIR> Nikon
28.11.2002 01:16 <DIR> ODBC
28.11.2002 01:16 <DIR> SpeechEngines
29.11.2002 02:54 <DIR> System
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 54.641.965.056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\Windows\tasks

14.10.2006 22:25 398 At1.job
06.08.2006 14:45 336 FRU Task #Hewlett-Packard#hp psc 1200 series#1146314536.job
2 Datei(en) 734 Bytes
0 Verzeichnis(se), 54.641.965.056 Bytes frei

#13 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccabba
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjkhf
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00017.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00018.dll
C:\WINDOWS\system32\ansi.cfg
C:\WINDOWS\system32\pmnlmkj.dll
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\setup_82760.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\khffcdc.dll
C:\WINDOWS\system32\setup_64172.exe
C:\WINDOWS\system32\gebbyyx.dll
C:\WINDOWS\system32\vturqrr.dll
C:\WINDOWS\system32\setup_25753.exe
C:\WINDOWS\system32\fccabba.dll
C:\WINDOWS\system32\setup_68113.exe
C:\WINDOWS\system32\ddcywuv.dll
C:\WINDOWS\system32\setup_06273.exe
C:\WINDOWS\system32\wvuurrr.dll
C:\WINDOWS\system32\setup_66644.exe
C:\WINDOWS\system32\wvuvwus.dll
C:\WINDOWS\system32\tool_de[1].log
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ljjklmk.dll
C:\WINDOWS\system32\drrm.bat
C:\WINDOWS\system32\setup_03212.exe
C:\WINDOWS\system32\awtqnkh.dll
C:\WINDOWS\system32\setup_67327.exe
C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\setup_06765.exe
C:\WINDOWS\system32\ijeb116b.sys
C:\WINDOWS\system32\dr1.exe
C:\WINDOWS\system32\setup_22875.exe
C:\WINDOWS\system32\setup_47556.exe
C:\WINDOWS\system32\setup_36174.exe
C:\WINDOWS\system32\setup_74783.exe
C:\WINDOWS\system32\setup_05804.exe
C:\WINDOWS\system32\setup_32511.exe
C:\WINDOWS\system32\setup_62478.exe
C:\WINDOWS\system32\setup_18470.exe
C:\WINDOWS\system32\setup_54647.exe
C:\WINDOWS\system32\setup_42822.exe
C:\WINDOWS\system32\pyhvlq.bat
C:\WINDOWS\system32\setup_14162.exe
C:\WINDOWS\system32\setup_38212.exe
C:\WINDOWS\system32\setup_12814.exe
C:\WINDOWS\system32\setup_53256.exe
C:\WINDOWS\system32\setup_08342.exe
C:\WINDOWS\system32\NETServ.exe
C:\WINDOWS\system32\setup_24824.exe
C:\WINDOWS\system32\setup_37760.exe
C:\WINDOWS\system32\setup_38210.exe
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\taskdir~.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\setup_58341.exe
C:\WINDOWS\system32\prjxsx.bat
C:\WINDOWS\system32\hekextuq.bat
C:\WINDOWS\system32\gtkixd.bat
C:\WINDOWS\system32\inistone.ini
C:\WINDOWS\system32\seozdkzp.bat
C:\WINDOWS\system32\ydlphj.bat
C:\WINDOWS\system32\xrdzjg.bat
C:\WINDOWS\system32\wxxxzlqu.bat
C:\WINDOWS\system32\ebkld.bat
C:\WINDOWS\system32\gfixz.bat
C:\WINDOWS\system32\k.exe
C:\Programme\Uninstall Need2Find Bar.dll
C:\WINDOWS\Downloaded Program Files\eied.inf
C:\WINDOWS\Downloaded Program Files\MirarSetup.inf
C:\WINDOWS\Desktop.exe
C:\WINDOWS\icont.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\kq92.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\ipv7.exe
C:\WINDOWS\_MSRSTRT.EXE
C:\WINDOWS\Temp\removalfile.bat
C:\WINDOWS\Temp\bw2.com
C:\drsmartload.exe
C:\kybrdff_e28.exe
C:\dfndrff_e29.exe
C:\nwnmff_e28.exe
C:\MTE3NDI6ODoxNg.exe
C:\deskbar_e29.exe
C:\Installer4.exe
C:\pp4ico.exe
C:\uniq

Folders to delete:
C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\SearchToolbarCorp
C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Shareaza
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Shareaza
C:\Programme\BearShare
C:\Programme\Deskbar
C:\Programme\Need2Find
C:\Programme\Network Monitor
C:\Programme\Security Toolbar
C:\Programme\Shareaza
C:\Programme\RXToolBar

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
scanne mit Quofix und Qoofix 1.03
http://virus-protect.org/artikel/tools/quofixhttp.html
und poste den report

*
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

**
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fmpjmty^

*******************

Script file located at: \??\C:\Program Files\rugkpjbj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Status: 0xc0000034

File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00017.exe deleted successfully.
File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00018.dll deleted successfully.
File C:\WINDOWS\system32\ansi.cfg deleted successfully.
File C:\WINDOWS\system32\pmnlmkj.dll deleted successfully.
File C:\WINDOWS\system32\atmtd.dll deleted successfully.
File C:\WINDOWS\system32\atmtd.dll._ deleted successfully.
File C:\WINDOWS\system32\setup_82760.exe deleted successfully.
File C:\WINDOWS\system32\i deleted successfully.
File C:\WINDOWS\system32\khffcdc.dll deleted successfully.
File C:\WINDOWS\system32\setup_64172.exe deleted successfully.
File C:\WINDOWS\system32\gebbyyx.dll deleted successfully.
File C:\WINDOWS\system32\vturqrr.dll deleted successfully.
File C:\WINDOWS\system32\setup_25753.exe deleted successfully.
File C:\WINDOWS\system32\fccabba.dll deleted successfully.
File C:\WINDOWS\system32\setup_68113.exe deleted successfully.
File C:\WINDOWS\system32\ddcywuv.dll deleted successfully.
File C:\WINDOWS\system32\setup_06273.exe deleted successfully.
File C:\WINDOWS\system32\wvuurrr.dll deleted successfully.
File C:\WINDOWS\system32\setup_66644.exe deleted successfully.
File C:\WINDOWS\system32\wvuvwus.dll deleted successfully.
File C:\WINDOWS\system32\tool_de[1].log deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\ljjklmk.dll deleted successfully.
File C:\WINDOWS\system32\drrm.bat deleted successfully.
File C:\WINDOWS\system32\setup_03212.exe deleted successfully.
File C:\WINDOWS\system32\awtqnkh.dll deleted successfully.
File C:\WINDOWS\system32\setup_67327.exe deleted successfully.
File C:\WINDOWS\system32\abeeg.ini deleted successfully.
File C:\WINDOWS\system32\abeeg.bak1 deleted successfully.
File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\setup_06765.exe deleted successfully.
File C:\WINDOWS\system32\ijeb116b.sys deleted successfully.
File C:\WINDOWS\system32\dr1.exe deleted successfully.
File C:\WINDOWS\system32\setup_22875.exe deleted successfully.
File C:\WINDOWS\system32\setup_47556.exe deleted successfully.
File C:\WINDOWS\system32\setup_36174.exe deleted successfully.
File C:\WINDOWS\system32\setup_74783.exe deleted successfully.
File C:\WINDOWS\system32\setup_05804.exe deleted successfully.
File C:\WINDOWS\system32\setup_32511.exe deleted successfully.
File C:\WINDOWS\system32\setup_62478.exe deleted successfully.
File C:\WINDOWS\system32\setup_18470.exe deleted successfully.
File C:\WINDOWS\system32\setup_54647.exe deleted successfully.
File C:\WINDOWS\system32\setup_42822.exe deleted successfully.
File C:\WINDOWS\system32\pyhvlq.bat deleted successfully.
File C:\WINDOWS\system32\setup_14162.exe deleted successfully.
File C:\WINDOWS\system32\setup_38212.exe deleted successfully.
File C:\WINDOWS\system32\setup_12814.exe deleted successfully.
File C:\WINDOWS\system32\setup_53256.exe deleted successfully.
File C:\WINDOWS\system32\setup_08342.exe deleted successfully.
File C:\WINDOWS\system32\NETServ.exe deleted successfully.
File C:\WINDOWS\system32\setup_24824.exe deleted successfully.
File C:\WINDOWS\system32\setup_37760.exe deleted successfully.
File C:\WINDOWS\system32\setup_38210.exe deleted successfully.
File C:\WINDOWS\system32\zlbw.dll deleted successfully.
File C:\WINDOWS\system32\taskdir~.exe deleted successfully.
File C:\WINDOWS\system32\winsub.xml deleted successfully.
File C:\WINDOWS\system32\svcp.csv deleted successfully.
File C:\WINDOWS\system32\setup_58341.exe deleted successfully.
File C:\WINDOWS\system32\prjxsx.bat deleted successfully.
File C:\WINDOWS\system32\hekextuq.bat deleted successfully.
File C:\WINDOWS\system32\gtkixd.bat deleted successfully.
File C:\WINDOWS\system32\inistone.ini deleted successfully.
File C:\WINDOWS\system32\seozdkzp.bat deleted successfully.
File C:\WINDOWS\system32\ydlphj.bat deleted successfully.
File C:\WINDOWS\system32\xrdzjg.bat deleted successfully.
File C:\WINDOWS\system32\wxxxzlqu.bat deleted successfully.
File C:\WINDOWS\system32\ebkld.bat deleted successfully.
File C:\WINDOWS\system32\gfixz.bat deleted successfully.
File C:\WINDOWS\system32\k.exe deleted successfully.
File C:\Programme\Uninstall Need2Find Bar.dll deleted successfully.
File C:\WINDOWS\Downloaded Program Files\eied.inf deleted successfully.
File C:\WINDOWS\Downloaded Program Files\MirarSetup.inf deleted successfully.
File C:\WINDOWS\Desktop.exe deleted successfully.
File C:\WINDOWS\icont.exe deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.
File C:\WINDOWS\kq92.exe deleted successfully.
File C:\WINDOWS\newname.dat deleted successfully.
File C:\WINDOWS\smdat32m.sys deleted successfully.
File C:\WINDOWS\smdat32a.sys deleted successfully.
File C:\WINDOWS\ipv7.exe deleted successfully.
File C:\WINDOWS\_MSRSTRT.EXE deleted successfully.
File C:\WINDOWS\Temp\removalfile.bat deleted successfully.


File C:\WINDOWS\Temp\bw2.com not found!
Deletion of file C:\WINDOWS\Temp\bw2.com failed!

Could not process line:
C:\WINDOWS\Temp\bw2.com
Status: 0xc0000034

File C:\drsmartload.exe deleted successfully.
File C:\kybrdff_e28.exe deleted successfully.
File C:\dfndrff_e29.exe deleted successfully.
File C:\nwnmff_e28.exe deleted successfully.
File C:\MTE3NDI6ODoxNg.exe deleted successfully.
File C:\deskbar_e29.exe deleted successfully.
File C:\Installer4.exe deleted successfully.
File C:\pp4ico.exe deleted successfully.
File C:\uniq deleted successfully.
Folder C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\SearchToolbarCorp deleted successfully.
Folder C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Shareaza deleted successfully.
Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Shareaza deleted successfully.
Folder C:\Programme\BearShare deleted successfully.
Folder C:\Programme\Deskbar deleted successfully.
Folder C:\Programme\Need2Find deleted successfully.
Folder C:\Programme\Network Monitor deleted successfully.
Folder C:\Programme\Security Toolbar deleted successfully.
Folder C:\Programme\Shareaza deleted successfully.


Folder C:\Programme\RXToolBar not found!
Deletion of folder C:\Programme\RXToolBar failed!

Could not process line:
C:\Programme\RXToolBar
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccabba deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjkhf deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.





Qoofix Logfile

Qoofix v1.03 by http://www.malwarebytes.org
Scan started on [15.10.2006] at [07:40:57]
-------------------------------------------------------------
No malicious modules found!
-------------------------------------------------------------
No Qoologic infected files found!
-------------------------------------------------------------
Scan COMPLETED SUCCESSFULLY on [15.10.2006] at [07:41:46]

Note: Some registry keys may have been removed.




folgender Schritt ist mir unklar, ich komme zu keiner qoofix.bat datei.
habe bfu.zip entzippt, und dann?


Please do this:
Download Brute Force Uninstaller to your C:\
http://www.merijn.org/files/bfu.zip


** einen Order C:\BFU erstellen (muss unter C:\ sein)--> bfu.zip dort entzippen .

** dann laden -> qoofix.zip [Qoofix by LonnyRJones (XP, Win2K)] -> entpacken -> qoofix.bat





HijackThis

ogfile of HijackThis v1.99.1
Scan saved at 08:06:43, on 15.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\IP\srv\srvany.exe
C:\ip\ip.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll (file missing)
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PhilipsDM] "C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c95 -w
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKLM\..\Run: [SvcManager] iexploer0.exe
O4 - HKLM\..\Run: [SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe
O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl95bd.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6524C0DE-27DB-4659-BBC1-683C739DD0C2}: NameServer = 143.50.56.25 143.50.19.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Internet Dialup Service - Unknown owner - C:\IP\srv\srvany.exe
O23 - Service: kq92 - Unknown owner - C:\WINDOWS\kq92.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



dafindbat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\system32

15.10.2006 08:09 430.314 xxycf.ini
15.10.2006 07:31 40.973 byxxvtt.dll
14.10.2006 23:10 62.336 setup_45164.exe
14.10.2006 23:04 40.973 ssqppmn.dll
14.10.2006 22:53 98.324 rsaiveuy.dll
14.10.2006 22:53 406.426 xxycf.bak1
14.10.2006 22:52 684.084 fcyxx.dll
14.10.2006 22:49 62.336 setup_88455.exe
14.10.2006 22:17 9.216 VundoFixSVC.exe
14.10.2006 08:23 4.212 zllictbl.dat
30.09.2006 22:13 16 servdat.slm
30.09.2006 22:13 354 lsprst7.tgz
30.09.2006 22:13 340 lsprst7.dll
30.09.2006 21:23 87 ssprs.tgz
30.09.2006 21:23 73 ssprs.dll
26.09.2006 10:22 118.784 pdfmona.dll
26.09.2006 10:22 51.716 pdf995mon.dll
25.09.2006 07:26 112.584 FNTCACHE.DAT
24.09.2006 22:20 1.025 clauth2.dll
24.09.2006 22:20 1.025 clauth1.dll
24.09.2006 22:20 1.025 sysprs7.tgz
24.09.2006 22:20 1.025 sysprs7.dll
21.09.2006 00:26 2.184 wpa.dbl
06.08.2006 10:53 3.645 qtplugin.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

15.10.2006 08:09 289 datFind-1.zip
15.10.2006 08:06 16.384 ~DF17ED.tmp
15.10.2006 07:45 618 jusched.log
15.10.2006 07:42 62.862 bfu.zip
15.10.2006 07:40 86.130 Qoofix.zip
14.10.2006 22:47 289 datFind.zip
6 Datei(en) 166.572 Bytes
0 Verzeichnis(se), 54.654.493.696 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS

15.10.2006 07:35 0 0.log
15.10.2006 07:35 159 wiadebug.log
15.10.2006 07:35 50 wiaservc.log
15.10.2006 07:34 2.048 bootstat.dat
15.10.2006 07:34 32.604 SchedLgU.Txt
14.10.2006 10:13 2.250.596 ntbtlog.txt
13.10.2006 19:31 1.855 OEWABLog.txt
13.10.2006 19:31 82.649 wmsetup.log
12.10.2006 19:09 6.104 ModemLog_Bluetooth DUN Modem.txt
12.10.2006 19:09 6.098 ModemLog_Bluetooth Fax Modem.txt
12.10.2006 07:42 116 NeroDigital.ini
08.10.2006 17:13 54.156 QTFont.qfn
08.10.2006 17:12 1.136.663 setupapi.log
05.10.2006 10:53 1.409 QTFont.for
29.09.2006 13:29 49 wpd99.drv
26.09.2006 10:27 28 pdf995.ini
21.09.2006 09:21 10.812 mozver.dat
20.08.2006 17:14 0 MEMORY.DMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.05.2006 17:05 147 startbd.inf
27.03.2006 13:00 5.019 swflash.inf
24.03.2006 18:40 1.455.864 ICSScan.dll
24.03.2006 10:03 470 ICSScanner.inf
10.11.2005 16:20 137 _ipsec_.inf
21.10.2005 15:09 130 proto.inf
28.11.2002 01:29 65 desktop.ini
15.11.2002 13:23 901 iuctl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
9 Datei(en) 1.463.895 Bytes
0 Verzeichnis(se), 54.654.493.184 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\

15.10.2006 08:11 0 sys.txt
15.10.2006 08:11 709 down.txt
15.10.2006 08:11 117 tmp.txt
15.10.2006 08:10 6.523 system.txt
15.10.2006 08:10 535 systemtemp.txt
15.10.2006 08:09 98.938 system32.txt
15.10.2006 07:54 86.130 Qoofix.zip
15.10.2006 07:50 62.862 bfu.zip
15.10.2006 07:34 23.134 avenger.txt
15.10.2006 07:34 402.653.184 pagefile.sys
14.10.2006 23:05 13.907 files.txt
14.10.2006 22:45 7.111 ComboFix.txt
14.10.2006 22:37 138 ComboFix2.txt
14.10.2006 22:18 2.167 VundoFix.txt
14.10.2006 22:07 113.239 dirdat.txt
14.10.2006 15:30 39.710 History_02pichler.dat
14.10.2006 15:30 355 VoiceEngine.xml
12.10.2006 20:58 522 hpfr3420.xml
12.10.2006 20:58 114.538 hpfr3425.log
25.09.2006 18:24 1.045.876 BB_controlling_berater.pdf
24.09.2006 19:20 2.358.319 Niels_Pflaeging.pdf
24.09.2006 19:17 1.055.577 beyond_budgeting_krp_jdaum.pdf
24.09.2006 19:00 1.291.966 beyond_budgeting_jdaum_cc2003.pdf#search=%22www.juergendaum.de%2Farticles%2Fbeyond_budgeting_jdaum_cc2003.pdf
19.09.2006 11:00 251.352 deskbar.exe
06.08.2006 13:20 1.178 INSTALL.LOG

#15 02pichle

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/at/

O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll (file missing)

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c95 -w
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKLM\..\Run: [SvcManager] iexploer0.exe
O4 - HKLM\..\Run: [SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe
O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl95bd.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: kq92 - Unknown owner - C:\WINDOWS\kq92.exe (file missing)

PC neustarten

«««
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcyxx

Files to delete:
C:\WINDOWS\system32\itunesff.exe
C:\WINDOWS\Downloaded Program Files\_ipsec_.inf
C:\WINDOWS\system32\adir.dll
C:\WINDOWS\system32\xxycf.ini
C:\WINDOWS\system32\byxxvtt.dll
C:\WINDOWS\system32\setup_45164.exe
C:\WINDOWS\system32\ssqppmn.dll
C:\WINDOWS\system32\rsaiveuy.dll
C:\WINDOWS\system32\xxycf.bak1
C:\WINDOWS\system32\fcyxx.dll
C:\WINDOWS\system32\setup_88455.exe

**

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

kq92

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

_____________________

**
scanne, stelle nach dem scan alles auf remove und poste den report
(wenn der platz nicht reicht, poste den report als anhang - siehe unten)
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit