Prutect und E2Give lassen sich nicht entfernen

#1 Hallo,

Ich weiß es gibt so viele E2Give Treads und ich habe auch wirklich schon viele gelesen ausprobiert. Ein Removal Tool benutzt unzähliche Scanner laufen lassen doch es geht nicht weg! Ich versuche es nun schon seit Wochen und hätte wohl auch schon aufgegeben, wenn nicht AntiVir hin und wieder eine Message aufpoppen lässt mit trojaner befund.
Auch wenn ich die Trojaner entfernen sollte sind sie ganz schnell wieder da.
Ich poste mal mein HijackThis log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 12:20:46, on 14.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Media\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Tools\Babylon\Babylon.exe
C:\WINDOWS\System32\svchost.exe
C:\Internet\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Internet\Mozilla\firefox.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tools\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\atftuqtu.dll (file missing)
O2 - BHO: (no name) - {352B86FC-73A6-4D08-8166-1C2AE4BC0A1F} - C:\WINDOWS\system32\vturr.dll (file missing)
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Internet\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Media\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Babylon Translator] C:\Tools\Babylon\Babylon.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Internet\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Internet\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Internet\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Internet\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: direct32.dll,
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Ich wäre echt überglücklich wenn ich die Sachen endlich loswerden könnte.

May

#2 DupsyMay

poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Erst einmal vielen vielen Dank für deine Antwort!! Das ist echt extrem nett und lieb von dir!!

so von Combofix:

Zitat

Viet-Ha - 06-10-14 22:59:13,54 Service Pack 2
ComboFix 06.10.14.1 - Running from: "C:\Internet\Mozilla"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\cfg32.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\taskmgr.com
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{3042BB40-0708-1031-0305-050514040031}
C:\Programme\Gemeinsame Dateien\{6042BB40-0708-1031-0305-050514040031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Programme\DOBE~1
C:\QooBox\Purity\Programme\STEM32~1
C:\QooBox\Purity\Programme\DOBE~1\?ervices.exe
C:\QooBox\Purity\Programme\STEM32~1\??stem32
C:\QooBox\Purity\WINDOWS\SMANTE~1
C:\QooBox\Purity\WINDOWS\SMANTE~1\?ervices.exe
C:\QooBox\Purity\WINDOWS\system32\MANTEC~1
C:\QooBox\Purity\WINDOWS\system32\MANTEC~1\regsvr32.exe
C:\QooBox\Purity\WINDOWS\system32\MANTEC~1\??mantec


((((((((((((((((((((((((((((((( Files Created from 2006-09-14 to 2006-10-14 ))))))))))))))))))))))))))))))))))


2006-10-14 11:36 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2006-10-14 11:36 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2006-10-14 11:35 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2006-10-13 22:11 25,600 -ra------ C:\WINDOWS\system32\drivers\DtvVideo.sys
2006-10-13 22:11 10,330 -ra------ C:\WINDOWS\system32\drivers\DtvAudio.sys
2006-10-13 22:09 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2006-10-13 16:34 81,976 --a------ C:\WINDOWS\winsbak2.reg
2006-10-13 16:34 41,984 --a------ C:\WINDOWS\killproc.exe
2006-10-13 16:34 153,600 --a------ C:\WINDOWS\REGEDIT.COM
2006-10-13 16:34 153,600 --a------ C:\WINDOWS\R.COM
2006-10-13 16:34 140,800 --a------ C:\WINDOWS\system32\T.COM
2006-10-13 16:34 11,026 --a------ C:\WINDOWS\winsbak.reg
2006-10-13 16:33 950,272 --a------ C:\WINDOWS\system32\contfilt.dll
2006-10-13 16:33 9,488 --a------ C:\WINDOWS\sporder.dll
2006-10-13 16:33 7,680 --a------ C:\WINDOWS\sporder.exe
2006-10-13 16:33 40,448 --a------ C:\WINDOWS\inst_tsp.exe
2006-10-13 16:33 339,968 --a------ C:\WINDOWS\system32\mwtsp.dll
2006-10-13 16:33 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2006-10-13 16:33 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2006-10-13 16:33 118,784 --a------ C:\WINDOWS\system32\mwnsp.dll
2006-10-13 16:33 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE
2006-10-13 11:05 143,380 --a------ C:\WINDOWS\system32\ibyrsesk.exe
2006-10-13 10:54 2 --a------ C:\WINDOWS\system32\wnscpsv.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-14 22:59 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-13 22:11 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-13 22:11 -------- d-------- C:\Programme\PC-TV
2006-10-13 16:34 -------- d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2006-10-13 11:28 -------- d-------- C:\Programme\RegCleaner
2006-10-13 11:20 -------- d-------- C:\Programme\ElcomSoft
2006-10-13 11:05 -------- d-------- C:\Programme\SpyQuake2.com
2006-10-12 20:32 -------- d-------- C:\Dokumente und Einstellungen\Viet-Ha\Anwendungsdaten\Azureus
2006-10-09 20:34 -------- d-------- C:\Dokumente und Einstellungen\Viet-Ha\Anwendungsdaten\ICQLite
2006-10-03 15:45 -------- d-------- C:\Dokumente und Einstellungen\Viet-Ha\Anwendungsdaten\AdobeUM
2006-09-22 22:37 -------- d-------- C:\Programme\CyberLink
2006-09-21 17:29 -------- d-------- C:\Dokumente und Einstellungen\Viet-Ha\Anwendungsdaten\RipIt4Me
2006-09-09 12:11 -------- d-------- C:\Programme\Azureus
2006-08-19 16:16 3082 --a------ C:\WINDOWS\system32\affv11300p2now.sys
2006-08-18 13:16 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2006-08-18 11:34 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-08-17 22:42 -------- d-------- C:\Programme\MSN
2006-08-17 22:42 -------- d-------- C:\Dokumente und Einstellungen\Viet-Ha\Anwendungsdaten\MSNInstaller
2006-08-04 13:23 69632 --a------ C:\WINDOWS\system32\realbap1.dll
2006-08-04 13:23 45568 --a------ C:\WINDOWS\system32\realbsf1.dll
2006-07-27 04:05 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-07-27 04:05 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-07-27 04:05 192512 --a------ C:\WINDOWS\system32\dtu100.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Babylon Translator"="C:\\Tools\\Babylon\\Babylon.exe"
"GMX SMS-Manager"="C:\\Internet\\GMX\\GMX SMS-Manager\\SMSMngr.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Internet\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"Avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Media\\Winamp\\winampa.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20061013-151155-506
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
backup-20061013-151137-772
R3 - URLSearchHook: (no name) - {D2C43830-D98F-AF7B-D9BF-F7DA69BB6ACE} - C:\WINDOWS\system32\adoalx.dll
backup-20061013-151137-855
R3 - URLSearchHook: (no name) - {604AC5C8-7B7E-03D0-23C0-0095BD8689C0} - C:\WINDOWS\system32\ybpm.dll
backup-20061013-151137-947
O4 - HKCU\..\Run: [systep] C:\WINDOWS\system32\systep.exe
backup-20061013-151137-761
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-738B1E346E99} - (no file)
backup-20061013-151137-552
F2 - REG:system.ini: UserInit=userinit.exe
Completion time: 06-10-14 22:59:49.29
C:\ComboFix.txt ... 06-10-14 22:59

ClenUp hab ich durchgeführt.

Und die 6 Dateien:

system32.txt:

Zitat

Datentr„ger in Laufwerk C: ist VH_System
Volumeseriennummer: 6042-BB40

Verzeichnis von C:\WINDOWS\system32

14.10.2006 18:53 380 QuickTime.qtp
14.10.2006 11:57 13.646 wpa.dbl
13.10.2006 11:25 2 wnscpsv.exe
13.10.2006 11:05 143.380 ibyrsesk.exe
13.10.2006 10:53 36.892 ishost.exe_tobedeleted
13.10.2006 10:53 18.432 wingsa32.dll.mwt
19.08.2006 16:40 5 SySCut.dat
19.08.2006 16:16 3.082 affv11300p2now.sys
10.08.2006 11:07 570.144 FNTCACHE.DAT
04.08.2006 13:23 69.632 realbap1.dll
04.08.2006 13:23 45.568 realbsf1.dll
31.07.2006 04:12 950.272 contfilt.dll
31.07.2006 03:52 339.968 mwtsp.dll
31.07.2006 03:48 118.784 mwnsp.dll
27.07.2006 04:05 3.596.288 qt-dx331.dll
27.07.2006 04:05 73.728 dpl100.dll
27.07.2006 04:05 192.512 dtu100.dll

systemtemp:

Zitat

Datentr„ger in Laufwerk C: ist VH_System
Volumeseriennummer: 6042-BB40

Verzeichnis von C:\DOKUME~1\Viet-Ha\LOKALE~1\Temp

14.10.2006 15:26 16.384 Perflib_Perfdata_764.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 24.679.235.584 Bytes frei

windows.txt:

Zitat

Datentr„ger in Laufwerk C: ist VH_System
Volumeseriennummer: 6042-BB40

Verzeichnis von C:\WINDOWS

14.10.2006 21:26 296 system.ini
14.10.2006 19:22 116 NeroDigital.ini
14.10.2006 12:03 24.483 WindowsUpdate.log
14.10.2006 11:57 0 0.log
14.10.2006 11:57 159 wiadebug.log
14.10.2006 11:57 50 wiaservc.log
14.10.2006 11:57 2.048 bootstat.dat
14.10.2006 11:53 904.900 ntbtlog.txt
14.10.2006 11:36 116 setupact.log
14.10.2006 11:36 27.421 setupapi.log
14.10.2006 11:36 0 setuperr.log
14.10.2006 11:15 32.630 SchedLgU.Txt
13.10.2006 17:21 550 win.ini
13.10.2006 17:21 4.914 mailremv.log
13.10.2006 17:21 217 INST_TSP.LOG
13.10.2006 17:21 25.357 ESCAN.LOG
13.10.2006 17:20 330 frights.log
13.10.2006 17:20 624 general.log
13.10.2006 16:59 0 Sti_Trace.log
13.10.2006 16:56 589 MAILINST.LOG
13.10.2006 16:40 3.374.619 REGBK00.ZIP
13.10.2006 16:34 81.976 winsbak2.reg
13.10.2006 16:34 11.026 winsbak.reg
19.08.2006 16:18 268 Audiocut.ini
19.08.2006 16:01 316.640 WMSysPr9.prx
14.08.2006 21:06 35 Ulead32.INI
31.07.2006 03:52 40.448 inst_tsp.exe
31.07.2006 03:28 41.984 killproc.exe

91 Datei(en) 15.077.441 Bytes
0 Verzeichnis(se), 24.679.227.392 Bytes frei

temp.txt:

Zitat

Datentr„ger in Laufwerk C: ist VH_System
Volumeseriennummer: 6042-BB40

Verzeichnis von C:\WINDOWS\Temp

down.txt:

Zitat

Datentr„ger in Laufwerk C: ist VH_System
Volumeseriennummer: 6042-BB40

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
07.05.2006 16:47 65 desktop.ini
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 24.679.231.488 Bytes frei

c.txt:

Zitat

Datentr„ger in Laufwerk C: ist VH_System
Volumeseriennummer: 6042-BB40

Verzeichnis von C:\

14.10.2006 23:10 0 sys.txt
14.10.2006 23:09 341 down.txt
14.10.2006 23:09 113 temp.txt
14.10.2006 23:09 113 tmp.txt
14.10.2006 23:09 1.606 system.txt
14.10.2006 23:08 303 systemtemp.txt
14.10.2006 23:08 88.977 system32.txt
14.10.2006 22:59 9.409 ComboFix.txt
14.10.2006 11:57 469.291.008 hiberfil.sys
14.10.2006 11:57 805.306.368 pagefile.sys
14.10.2006 11:53 1.963 VundoFix.txt
13.10.2006 17:21 0 23990098.$$$
13.10.2006 16:34 203 bootini.uns

21 Datei(en) 1.275.004.315 Bytes
0 Verzeichnis(se), 24.679.227.392 Bytes frei

Nochmals vielen vielen Dank!!

LG May

#4 1.
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\direct32.dll
C:\WINDOWS\system32\adoalx.dll
C:\WINDOWS\system32\ybpm.dll
C:\WINDOWS\system32\wnscpsv.exe
C:\WINDOWS\system32\ibyrsesk.exe
C:\WINDOWS\system32\ishost.exe_tobedeleted
C:\WINDOWS\system32\wingsa32.dll.mwt
C:\WINDOWS\system32\wnscpsv.exe
C:\WINDOWS\system32\affv11300p2now.sys

Folders to delete:
C:\Programme\SpyQuake2.com
C:\Programme\E2G
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{3042BB40-0708-1031-0305-050514040031}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

_______________________

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\realbap1.dll
C:\WINDOWS\system32\realbsf1.dll
C:\WINDOWS\system32\SySCut.dat

poste die reporte

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html

___________

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\atftuqtu.dll (file missing)
O2 - BHO: (no name) - {352B86FC-73A6-4D08-8166-1C2AE4BC0A1F} - C:\WINDOWS\system32\vturr.dll (file missing)
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\atftuqtu.dll (file missing)
O2 - BHO: (no name) - {352B86FC-73A6-4D08-8166-1C2AE4BC0A1F} - C:\WINDOWS\system32\vturr.dll (file missing)
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit

#5 hi~

Zitat

Complete scanning result of "realbap1.dll", received in VirusTotal at 10.15.2006, 10:11:26 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.30 10.14.2006 no virus found
Authentium 4.93.8 10.13.2006 no virus found
Avast 4.7.892.0 10.13.2006 no virus found
AVG 386 10.14.2006 no virus found
BitDefender 7.2 10.15.2006 no virus found
CAT-QuickHeal 8.00 10.14.2006 no virus found
ClamAV devel-20060426 10.14.2006 no virus found
DrWeb 4.33 10.15.2006 no virus found
eTrust-InoculateIT 23.73.22 10.13.2006 no virus found
eTrust-Vet 30.3.3131 10.13.2006 no virus found
Ewido 4.0 10.14.2006 no virus found
Fortinet 2.82.0.0 10.15.2006 no virus found
F-Prot 3.16f 10.13.2006 no virus found
F-Prot4 4.2.1.29 10.13.2006 no virus found
Ikarus 0.2.65.0 10.13.2006 no virus found
Kaspersky 4.0.2.24 10.15.2006 no virus found
McAfee 4873 10.13.2006 no virus found
Microsoft 1.1603 10.15.2006 no virus found
NOD32v2 1.1804 10.15.2006 no virus found
Norman 5.80.02 10.13.2006 no virus found
Panda 9.0.0.4 10.14.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.098 10.14.2006 no virus found
UNA 1.83 10.13.2006 no virus found
VBA32 3.11.1 10.15.2006 no virus found
VirusBuster 4.3.7:9 10.14.2006 no virus found

Zitat

Complete scanning result of "realbsf1.dll", received in VirusTotal at 10.15.2006, 10:25:13 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.30 10.14.2006 no virus found
Authentium 4.93.8 10.13.2006 no virus found
Avast 4.7.892.0 10.13.2006 no virus found
AVG 386 10.14.2006 no virus found
BitDefender 7.2 10.15.2006 no virus found
CAT-QuickHeal 8.00 10.14.2006 no virus found
ClamAV devel-20060426 10.14.2006 no virus found
DrWeb 4.33 10.15.2006 no virus found
eTrust-InoculateIT 23.73.22 10.13.2006 no virus found
eTrust-Vet 30.3.3131 10.13.2006 no virus found
Ewido 4.0 10.14.2006 no virus found
Fortinet 2.82.0.0 10.15.2006 no virus found
F-Prot 3.16f 10.13.2006 no virus found
F-Prot4 4.2.1.29 10.13.2006 no virus found
Ikarus 0.2.65.0 10.13.2006 no virus found
Kaspersky 4.0.2.24 10.15.2006 no virus found
McAfee 4873 10.13.2006 no virus found

Zitat

Complete scanning result of "SySCut.dat", received in VirusTotal at 10.15.2006, 10:30:00 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.30 10.14.2006 no virus found
Authentium 4.93.8 10.13.2006 no virus found
Avast 4.7.892.0 10.13.2006 no virus found
AVG 386 10.14.2006 no virus found
BitDefender 7.2 10.15.2006 no virus found
CAT-QuickHeal 8.00 10.14.2006 no virus found
ClamAV devel-20060426 10.14.2006 no virus found
DrWeb 4.33 10.15.2006 no virus found
eTrust-InoculateIT 23.73.22 10.13.2006 no virus found
eTrust-Vet 30.3.3131 10.13.2006 no virus found
Ewido 4.0 10.14.2006 no virus found
Fortinet 2.82.0.0 10.15.2006 no virus found
F-Prot 3.16f 10.13.2006 no virus found
F-Prot4 4.2.1.29 10.13.2006 no virus found
Ikarus 0.2.65.0 10.13.2006 no virus found
Kaspersky 4.0.2.24 10.15.2006 no virus found
McAfee 4873 10.13.2006 no virus found
Microsoft 1.1603 10.15.2006 no virus found
NOD32v2 1.1804 10.15.2006 no virus found
Norman 5.80.02 10.13.2006 no virus found
Panda 9.0.0.4 10.14.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.098 10.14.2006 no virus found
UNA 1.83 10.13.2006 no virus found
VBA32 3.11.1 10.15.2006 no virus found
VirusBuster 4.3.7:9 10.14.2006 no virus found

scanreport:

Zitat

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 19:30:16 15.10.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Classes\IeBHOs.Control -> Adware.E2G : Gesäubert.
HKLM\SOFTWARE\Classes\IeBHOs.Control.1 -> Adware.E2G : Gesäubert.
HKLM\SOFTWARE\Classes\IeBHOs.Control\CLSID -> Adware.E2G : Gesäubert.
HKLM\SOFTWARE\Classes\IeBHOs.Control\CurVer -> Adware.E2G : Gesäubert.
C:\System Volume Information\_restore{26B1D629-009A-45AF-B717-7D26424E68C3}\RP144\A0027576.dll -> Adware.E2give : Gesäubert.
C:\System Volume Information\_restore{26B1D629-009A-45AF-B717-7D26424E68C3}\RP145\A0031723.dll -> Adware.E2give : Gesäubert.
C:\avenger\backup.zip/avenger/direct32.dll -> Adware.E2give : Gesäubert.
E:\System Volume Information\_restore{26B1D629-009A-45AF-B717-7D26424E68C3}\RP145\A0031686.dll -> Adware.E2Give : Gesäubert.
E:\System Volume Information\_restore{26B1D629-009A-45AF-B717-7D26424E68C3}\RP145\A0031687.dll -> Adware.E2Give : Gesäubert.
HKU\S-1-5-21-484763869-776561741-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6001CDF7-6F45-471B-A203-0225615E35A7} -> Adware.Generic : Gesäubert.
C:\System Volume Information\_restore{26B1D629-009A-45AF-B717-7D26424E68C3}\RP145\A0031658.dll -> Adware.Softomate : Gesäubert.
C:\System Volume Information\_restore{26B1D629-009A-45AF-B717-7D26424E68C3}\RP145\A0031651.exe -> Downloader.Zlob.apq : Gesäubert.
C:\System Volume Information\_restore{26B1D629-009A-45AF-B717-7D26424E68C3}\RP145\A0031657.dll -> Not-A-Virus.Hoax.Win32.Renos.ds : Gesäubert.
C:\Dokumente und Einstellungen\Viet-Ha\Cookies\viet-ha@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.12:C:\Dokumente und Einstellungen\Viet-Ha\Anwendungsdaten\Mozilla\Firefox\Profiles\bt6u997y.default\cookies.txt -> TrackingCookie.Addcontrol : Gesäubert.
:mozilla.15:

::Berichtende

danke schön ^.^