WORM/Warezov.BG.4 und mehr..

#0
16.10.2006, 18:55
...neu hier

Beiträge: 1
#1 Hallo
seit heute quält mich dieser Virus. Es gibt den oben genannten, dann den Warezov.28672.5, Warezov.CU.3, Warezov.BG.6. Diese 3 werden bei verschiedenen Daten angezeigt. Hier habe ich mit Hijackthis den Log gemacht.

Logfile of HijackThis v1.99.1
Scan saved at 18:44:37, on 16.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\ICQLite\ICQLite.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\jre1.5.0_08\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\atrconf.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
D:\Programme\WinRAR\WinRAR.exe
D:\WINDOWS\System32\lprmneth.exe
D:\DOKUME~1\Helvete\LOKALE~1\Temp\Rar$EX02.985\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [egdiag] D:\WINDOWS\system32\atrconf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Search -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152972483843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153056417671
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: msisnwcf.dll e1.dll confcon.dll constat.dll confatt.dll attstat.dll
O20 - Winlogon Notify: attmgr - D:\WINDOWS\SYSTEM32\attmgr32.dll
O20 - Winlogon Notify: conmgr - D:\WINDOWS\SYSTEM32\conmgr32.dll
O20 - Winlogon Notify: lprmneth - D:\WINDOWS\system32\lprmneth.dll

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

gleich gehts weiter..
Seitenanfang Seitenende
17.10.2006, 02:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2006, 16:17
...neu hier

Beiträge: 1
#3 Hallo

ich habe seit einigen Tagen auch meine Probleme mit
Warezov.cv Warezov.28672.6 Warezov.Cu.5 Warezov.12288.6 Warezo.35748.A

Ich hatte schon im Abgesicherten Modus mit Kaspersky und Anti Vir meinen Rechner untersuchen lasssen. Er hatte auch einiges gefunden, doch ich glaube es sind immer noch "Schädlinge" auf meinem Rechner. Hatte jetzt auch mal mit dem oben genannten prog untersuchen lassen. (muss ich da auf irgendwelche Einstellungen achten oder einfach alles lassen wie es ist? Hab einfach auf Sys Scan gedrückt)

Logfile of HijackThis v1.99.1
Scan saved at 16:14:49, on 18.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\atrconf.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Winamp\winamp.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla1.7.11\mozilla.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 62.75.218.123 l2authd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\atrconf.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Miranda IM] C:\Programme\Miranda IM\miranda32.exe
O4 - HKCU\..\Run: [Xfire] C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE371E4C-6AC1-44CE-B0BA-3D818331999D}: NameServer = 192.168.168.230
O18 - Protocol: bw+0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: offline-8876480 - {B13576F0-59D5-46CD-A93A-8F561AAB67D3} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - AppInit_DLLs: psapdani.dll confatt.dll attstat.dll
O20 - Winlogon Notify: attmgr - C:\WINDOWS\SYSTEM32\attmgr32.dll
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe


So, ist mein Rechner schon völlig hin oder kann man da noch was retten? Hab nen Ping von 300-1000 (sonst 20-40max) und meine Verbindung bricht überall zusammen.


*edit 1*

Weda - 06-10-18 16:47:32.10 Service Pack 2
ComboFix 06.10.16 - Running from: "C:\"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload.dat


((((((((((((((((((((((((((((((( Files Created from 2006-09-18 to 2006-10-18 ))))))))))))))))))))))))))))))))))


2006-10-18 16:44 276,886 --a------ C:\combofix.exe
2006-10-18 10:07 49,152 --ah----- C:\WINDOWS\system32\atrconf.exe
2006-10-17 19:28 13,409,832 --a------ C:\antivir_workstation_win7u_de_h.exe
2006-10-17 19:19 53,248 --ah----- C:\WINDOWS\system32\attprf32.dll
2006-10-17 19:19 49,152 --ah----- C:\WINDOWS\system32\confatt.dll
2006-10-17 19:19 40,960 --ah----- C:\WINDOWS\system32\attperf.exe
2006-10-17 19:19 352,256 --ah----- C:\WINDOWS\system32\attmgr32.dll
2006-10-17 19:19 143,360 --ah----- C:\WINDOWS\system32\attstat.dll
2006-10-17 12:37 0 --a------ C:\WINDOWS\hv4e05.dll
2006-10-16 23:31 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-10-16 19:15 36,656,704 --a------ C:\iTunesSetup.exe
2006-10-12 19:13 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-12 19:13 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-12 19:10 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-10-12 19:10 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2006-10-05 18:47 1,866,499 --a------ C:\TSO-BETA-2-Win32-Build63.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-18 16:32 -------- d-------- C:\Dokumente und Einstellungen\Weda\Anwendungsdaten\Xfire
2006-10-18 16:30 96256 --a------ C:\WINDOWS\system32\drivers\sptd2333.sys
2006-10-17 17:30 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-10-17 17:26 -------- d-------- C:\Programme\XPcleanv5
2006-10-17 12:37 -------- d-------- C:\Programme\ICQLite
2006-10-16 23:35 -------- d---s---- C:\Programme\Xfire
2006-10-16 23:35 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-10-16 23:35 -------- d-------- C:\Dokumente und Einstellungen\Weda\Anwendungsdaten\Azureus
2006-10-12 19:26 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-12 19:13 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-07 21:13 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-09-17 19:31 -------- d-------- C:\Dokumente und Einstellungen\Weda\Anwendungsdaten\RapidGet
2006-09-14 17:38 -------- d-------- C:\Programme\Microsoft Office
2006-09-14 17:38 -------- d-------- C:\Programme\Gemeinsame Dateien\DESIGNER
2006-09-14 17:38 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-12 17:46 -------- d-------- C:\Programme\GameSpy Arcade
2006-08-29 15:47 -------- d-------- C:\Programme\Azureus
2006-08-29 15:06 -------- d-------- C:\Programme\Winamp
2006-08-28 08:57 -------- d---s---- C:\Dokumente und Einstellungen\Weda\Anwendungsdaten\Microsoft
2006-08-28 08:25 -------- d-------- C:\Programme\iTunes
2006-08-22 15:08 -------- d-------- C:\Dokumente und Einstellungen\Weda\Anwendungsdaten\InstallShield
2006-07-20 00:21 20 --a------ C:\Programme\setup.ini
2006-07-19 21:35 8346 --a------ C:\Programme\homam5.sfv.log
2006-07-19 21:35 17 --a------ C:\Programme\sfv.log


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2006\\MemOptimizer.exe\" autostart"
"STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"Miranda IM"="C:\\Programme\\Miranda IM\\miranda32.exe"
"Xfire"="C:\\Programme\\Xfire\\Xfire.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"CTSysVol"="C:\\Programme\\Creative\\SBAudigy2ZS\\Surround Mixer\\CTSysVol.exe /r"
"SBDrvDet"="C:\\Programme\\Creative\\SB Drive Det\\SBDrvDet.exe /r"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"KAVPersonal50"="C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kav.exe /minimize"
"egdiag"="C:\\WINDOWS\\system32\\atrconf.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,c4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"RemoteCenter"="C:\\Programme\\Creative\\MediaSource\\RemoteControl\\RCMan.EXE"
"IncrediMail"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"Logitech WingMan Event Monitor"="C:\\Programme\\Logitech\\Profiler\\LWEMon.exe"
"EA Core"="C:\\Programme\\Electronic Arts\\EA Downloader\\Core.exe -silent"
"ASUS SmartDoctor"="C:\\Programme\\ASUS\\SmartDoctor\\SmartDoctor.exe /start"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"



*edit 2*

Verzeichnis von C:\WINDOWS\system32

06-10-18 16:53 63,150 nvapps.xml
06-10-18 16:53 106,506 OODBS.lor
06-10-18 16:52 384 DVCStateBkp-{00000002-00000000-00000009-00001102-00000004-20021102}.dat
06-10-18 16:52 384 DVCState-{00000002-00000000-00000009-00001102-00000004-20021102}.dat
06-10-18 16:52 1,080 settings.sfm
06-10-18 16:52 1,080 settingsbkup.sfm
06-10-18 16:52 32,088 BMXBkpCtrlState-{00000002-00000000-00000009-00001102-00000004-20021102}.rfx
06-10-18 16:52 32,088 BMXCtrlState-{00000002-00000000-00000009-00001102-00000004-20021102}.rfx
06-10-18 16:52 32,592 BMXStateBkp-{00000002-00000000-00000009-00001102-00000004-20021102}.rfx
06-10-18 16:52 32,592 BMXState-{00000002-00000000-00000009-00001102-00000004-20021102}.rfx
06-10-18 10:07 49,152 atrconf.exe
06-10-17 19:19 143,360 attstat.dll
06-10-17 19:19 49,152 confatt.dll
06-10-17 19:19 53,248 attprf32.dll
06-10-17 19:19 352,256 attmgr32.dll
06-10-17 19:19 40,960 attperf.exe
06-10-17 17:10 2,206 wpa.dbl
06-10-07 21:13 98,304 CmdLineExt.dll
06-10-02 18:58 24,072 uxtuneup.dll
06-09-22 16:58 205,712 FNTCACHE.DAT
06-07-28 09:30 236,824 xactengine2_3.dll
06-07-28 09:30 62,744 xinput1_2.dll
06-07-20 01:11 1 SI.bin


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FCCB-910D

Verzeichnis von C:\DOKUME~1\Weda\LOKALE~1\Temp

06-10-18 16:53 2,373 browserview-e90c14.htm
06-10-18 16:53 16,384 Perflib_Perfdata_73c.dat
06-10-18 16:46 107,444 bt3235.bat
06-10-18 16:41 81,121 jusched.log
06-10-18 13:44 72,192 ~e5.0001
06-10-18 11:43 81,920 ~DF235C.tmp
06-10-18 10:08 114,688 ~DF2EAC.tmp
06-10-18 00:29 49,152 ~DF3AD7.tmp
06-10-18 00:22 16,384 Perflib_Perfdata_798.dat
06-10-18 00:18 81,920 ~DF2969.tmp
06-10-17 19:01 2,373 browserview-d4b1ec.htm
06-10-17 18:04 34,283 browserview-d4ac9c.htm
06-10-17 17:48 16,384 ~DFE15F.tmp
06-10-17 17:11 16,384 Perflib_Perfdata_7c0.dat
06-10-17 17:08 14,720 browserview-d4adbc.htm
06-10-17 12:39 16,384 ~DFC956.tmp
06-10-16 04:14 14,674 browserview-17b88d4.htm
06-10-15 04:02 717 control.xml
06-10-13 00:34 161 C4252FE0.TMP
19 Datei(en) 739,658 Bytes
0 Verzeichnis(se), 73,185,411,072 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FCCB-910D

Verzeichnis von C:\WINDOWS

06-10-18 16:53 1,516,423 WindowsUpdate.log
06-10-18 16:53 0 0.log
06-10-18 16:53 4,933,457 {00000002-00000000-00000009-00001102-00000004-20021102}.CDF
06-10-18 16:53 2,048 bootstat.dat
06-10-18 16:52 32,568 SchedLgU.Txt
06-10-18 10:36 344,528 ntbtlog.txt
06-10-17 19:19 0 concfg.tmp
06-10-17 19:19 0 dbmdata.tmp
06-10-17 19:19 0 egadata.tmp
06-10-17 12:37 0 hv4e05.dll
06-10-16 19:13 54,156 QTFont.qfn
06-10-15 23:05 1,409 QTFont.for
06-10-15 14:50 1,770,276 setupapi.log
06-10-15 04:02 53,906 wmsetup.log
06-10-15 04:02 0 sc.xml1
06-10-15 03:59 0 h6j40x.txt
06-10-12 19:10 378,421 DirectX.log
06-10-03 13:49 116 NeroDigital.ini
06-09-15 20:39 50 GunzLauncher.INI
06-09-14 18:52 50 wiaservc.log
06-09-14 18:52 618 wiadebug.log
06-09-14 17:40 400 ODBC.INI
06-08-29 16:06 59 wininit.ini
06-08-28 08:25 121 GEARInstall.log
06-08-26 08:01 16,418 ModemLog_Motorola USB Modem.txt
06-08-23 17:30 286 nsw.log
06-08-08 11:13 1,920 ModemLog_Standardmodem.txt
06-07-19 19:11 980 eReg.dat
06-07-08 09:12 364 mplaynow.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FCCB-910D

Verzeichnis von C:\WINDOWS\Temp

06-08-27 00:28 5,212 413f_appcompat.txt
1 Datei(en) 5,212 Bytes
0 Verzeichnis(se), 73,185,394,688 Bytes frei
Dieser Beitrag wurde am 18.10.2006 um 17:01 Uhr von Weda editiert.
Seitenanfang Seitenende
18.10.2006, 16:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Weda

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.10.2006, 12:19
...neu hier

Beiträge: 7
#5 ich habe dieses Problem seit 3 tagen auch und bei mir ist

c:\Windows\system32...
c:\volume\information...
c:\Windows\Prefatch...
befallen!!!

ich habe auch shcon die verschiedensten virenscanner drüberlaufen lassen paar sachen hat es repariert
aber ich kann seit dem keine sicherheitsupdates für windows mehr machen
(Automatische updates) sind blockiert von den viren (hab ich nachgelesen unter Worm/warezov.DLL.C)
ich meine dass ich seit 3 tagen keine updates für windows mehr machen kann
(selbst manuell kann ich die automatischen updates nicht aktivieren (d.h. es ist eigentlich aktiviert aber es zeigt an INAKTIV und ich kann dies nicht ändern)

da steht, dass dass die sicherheit ihres PC heruntergesetzt wird genau das ist bei mir!!

KANN UNS JEMAND HELFEN?


INFO Über Worm/warezov.dll.c

Verbreitungsmethode:
• Email


Aliases:
• Mcafee: W32/Stration@MM
• Kaspersky: Email-Worm.Win32.Warezov.ab
• TrendMicro: WORM_STRATION.BC
• F-Secure: Email-Worm.Win32.Warezov.ab
• Eset: Win32/Stration.AR


Betriebsysteme:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Auswirkungen:
• Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
• Erstellt schädliche Dateien
• Verfügt über eigene Email Engine
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry


Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
• download.microsoft.com; go.microsoft.com; msdn.microsoft.com;
office.microsoft.com; windowsupdate.microsoft.com;
http://www.microsoft.com/downloads/Search.aspx?displaylang=en; avp.ru;
www.avp.ru; http://avp.ru; http://www.avp.ru; kaspersky.ru;
www.kaspersky.ru; http://kaspersky.ru; kaspersky.com;
www.kaspersky.com; http://kaspersky.com; kaspersky-labs.com;
www.kaspersky-labs.com; http://kaspersky-labs.com; avp.ru/download/;
www.avp.ru/download/; http://www.avp.ru/download/;
http://www.kaspersky.ru/updates/;
http://www.kaspersky-labs.com/updates/; http://kaspersky.ru/updates/;
http://kaspersky-labs.com/updates/; downloads1.kaspersky-labs.com;
downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
downloads4.kaspersky-labs.com; downloads5.kaspersky-labs.com;
http://downloads1.kaspersky-labs.com;
http://downloads2.kaspersky-labs.com;
http://downloads3.kaspersky-labs.com;
http://downloads4.kaspersky-labs.com;
http://downloads5.kaspersky-labs.com;
downloads1.kaspersky-labs.com/products/;
downloads2.kaspersky-labs.com/products/;
downloads3.kaspersky-labs.com/products/;
downloads4.kaspersky-labs.com/products/;
downloads5.kaspersky-labs.com/products/;
http://downloads1.kaspersky-labs.com/products/;
http://downloads2.kaspersky-labs.com/products/;
http://downloads3.kaspersky-labs.com/products/;
http://downloads4.kaspersky-labs.com/products/;
http://downloads5.kaspersky-labs.com/products/;
downloads1.kaspersky-labs.com/updates/;
downloads2.kaspersky-labs.com/updates/;
downloads3.kaspersky-labs.com/updates/;
downloads4.kaspersky-labs.com/updates/;
downloads5.kaspersky-labs.com/updates/;
http://downloads1.kaspersky-labs.com/updates/;
http://downloads2.kaspersky-labs.com/updates/;
http://downloads3.kaspersky-labs.com/updates/;
http://downloads4.kaspersky-labs.com/updates/;
http://downloads5.kaspersky-labs.com/updates/;
ftp://downloads1.kaspersky-labs.com;
ftp://downloads2.kaspersky-labs.com;
ftp://downloads3.kaspersky-labs.com;
ftp://downloads4.kaspersky-labs.com;
ftp://downloads5.kaspersky-labs.com;
ftp://downloads1.kaspersky-labs.com/products/;
ftp://downloads2.kaspersky-labs.com/products/;
ftp://downloads3.kaspersky-labs.com/products/;
ftp://downloads4.kaspersky-labs.com/products/;
ftp://downloads5.kaspersky-labs.com/products/;
ftp://downloads1.kaspersky-labs.com/updates/;
ftp://downloads2.kaspersky-labs.com/updates/;
ftp://downloads3.kaspersky-labs.com/updates/;
ftp://downloads4.kaspersky-labs.com/updates/;
ftp://downloads5.kaspersky-labs.com/updates/;
http://updates.kaspersky-labs.com/updates/;
http://updates1.kaspersky-labs.com/updates/;
http://updates2.kaspersky-labs.com/updates/;
http://updates3.kaspersky-labs.com/updates/;
http://updates4.kaspersky-labs.com/updates/;
ftp://updates.kaspersky-labs.com/updates/;
ftp://updates1.kaspersky-labs.com/updates/;
ftp://updates2.kaspersky-labs.com/updates/;
ftp://updates3.kaspersky-labs.com/updates/;
ftp://updates4.kaspersky-labs.com/updates/; viruslist.com;
www.viruslist.com; http://viruslist.com; viruslist.ru;
www.viruslist.ru; http://viruslist.ru;
ftp://ftp.kasperskylab.ru/updates/; symantec.com; www.symantec.com;
http://symantec.com; customer.symantec.com;
http://customer.symantec.com; liveupdate.symantec.com;
http://liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
http://liveupdate.symantecliveupdate.com;
securityresponse.symantec.com; http://securityresponse.symantec.com;
service1.symantec.com; http://service1.symantec.com;
symantec.com/updates; http://symantec.com/updates;
updates.symantec.com; http://updates.symantec.com; eset.com/;
www.eset.com/; http://www.eset.com/; eset.com/products/index.php;
www.eset.com/products/index.php;
http://www.eset.com/products/index.php; eset.com/download/index.php;
www.eset.com/download/index.php;
http://www.eset.com/download/index.php; eset.com/joomla/;
www.eset.com/joomla/; http://www.eset.com/joomla/; u3.eset.com/;
http://u3.eset.com/; u4.eset.com/; http://u4.eset.com/;
www.symantec.com/updates




BITTE HELFT MIR!!! Suche eine lösung mit der ich dies reparieren kann
[/u]
Dieser Beitrag wurde am 22.10.2006 um 12:29 Uhr von dj-tschwae editiert.
Seitenanfang Seitenende
22.10.2006, 12:44
Member

Beiträge: 130
#6 dj-tschwae

Tu das bitte auch da ihr nicht unbedingt die gleiche version von warezov habt...

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
Seitenanfang Seitenende
22.10.2006, 12:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Weda

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr32
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr
HKLM\software\microsoft\windows\currentversion\run|egdiag

Files to delete:
C:\WINDOWS\system32\atrconf.exe
C:\WINDOWS\system32\attstat.dll
C:\WINDOWS\system32\confatt.dll
C:\WINDOWS\system32\attprf32.dll
C:\WINDOWS\system32\attmgr32.dll
C:\WINDOWS\system32\attperf.exe
C:\Dokumente und Einstellungen\Weda\Lokale Einstellungen\Temp\bt3235.bat
C:\WINDOWS\concfg.tmp
C:\WINDOWS\dbmdata.tmp
C:\WINDOWS\egadata.tmp
C:\WINDOWS\hv4e05.dll
C:\WINDOWS\sc.xml1
C:\WINDOWS\h6j40x.txt
C:\WINDOWS\drsmartload.dat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktvieren)

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.10.2006, 11:21
...neu hier

Beiträge: 6
#8 Hallo!

Ich habe das selbe Problem wie meine Vorgänger.
Hier die gewünschten Dateien.

EDIT: gekürzt, damit die ganzen dateien nicht doppelt hier stehen.
Dieser Beitrag wurde am 25.10.2006 um 18:59 Uhr von quizzard87 editiert.
Seitenanfang Seitenende
25.10.2006, 11:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 quizzard87

hatte ich nicht was von 6 logs geschrieben (datfindbat) - und dass ca. drei monate vom Datum her genuegen ???
die Daten von 2002 sind sicher interessant, aber nicht wichtig.................
die verseuchung war am 18.10.2006 14:37
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.10.2006, 12:43
...neu hier

Beiträge: 6
#10 hoppla, das mit den 3 monaten hab ich dummerweise übersehn.

soll ichs nochmal machen?
Seitenanfang Seitenende
25.10.2006, 12:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 ja, aber nur drei monate von jedem ;) - 6 logs ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.10.2006, 16:40
...neu hier

Beiträge: 7
#12 Hallo,

und was is mit mir ??? Ich schrieb dies bereits vor 2 Tagen aber mir wurde nicht geantwortet. *sry* aber da kommt jemand anderes in mein Forum un der bekommt gleich eine antwort.

bitte helft mir meinen Rechner wieder inordnung zu bringen!
ich habe meine 6-LOGS schon geschrieben
es kann sein dass bei mir auch ein paar sachen von (letzten Jahren stammen)
aber es war dort keine neuere Informationen zu holen!

Bitte helft mir aber wenn ihr mir das erklärt bitte eher für anfänger
naja schriebt es normal und wenn ich damit nicht zurecht komme schrieb ich euch nochmal an, dass Ihr mir es bitte nochmal neu erklärt.


Also ich bitte euch mir weiterzuhelfen habe solangsm diesen nervigen Virus satt.
Seitenanfang Seitenende
25.10.2006, 17:24
...neu hier

Beiträge: 6
#13 Besitzer - 06-10-25 11:12:29,46 Service Pack 1
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Besitzer\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-25 to 2006-10-25 ))))))))))))))))))))))))))))))))))


2006-10-18 15:57 80,996 --a------ C:\WINDOWS\system32\samsusrr.exe
2006-10-18 14:38 57,344 --a------ C:\WINDOWS\i9frd6a3u.reg
2006-10-18 14:38 53,248 --ah----- C:\WINDOWS\system32\attprf32.dll
2006-10-18 14:38 49,152 --ah----- C:\WINDOWS\system32\confatt.dll
2006-10-18 14:38 40,960 --ah----- C:\WINDOWS\system32\attperf.exe
2006-10-18 14:38 352,256 --ah----- C:\WINDOWS\system32\attmgr32.dll
2006-10-18 14:38 143,360 --ah----- C:\WINDOWS\system32\attstat.dll
2006-10-18 14:37 28,672 --a------ C:\WINDOWS\system32\psapdani.dll
2006-10-18 14:37 20,480 --a------ C:\WINDOWS\system32\NETFRTM.DLL.vir
2006-10-16 23:46 45,056 --a------ C:\WINDOWS\system32\wnaspi32.dll
2006-10-16 23:46 25,600 --------- C:\WINDOWS\system32\Cbndll.dll
2006-10-16 23:46 25,244 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2006-10-16 23:46 204,800 --a------ C:\WINDOWS\system32\ICEACR01.dll
2006-10-16 19:41 56,960 --a------ C:\WINDOWS\system32\drivers\aic78xx.sys
2006-10-14 20:15 8,864 --a------ C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2006-10-14 20:13 39,936 --a------ C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2006-10-12 18:52 25,466 --a------ C:\WINDOWS\system32\drivers\w2kasc.sys
2006-10-12 18:42 24,032 -ra------ C:\WINDOWS\system32\drivers\Ntaspi32.sys
2006-10-10 18:06 26,496 --a------ C:\WINDOWS\system32\drivers\asc.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-25 10:33 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-24 17:26 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2006-10-19 20:37 -------- d-------- C:\Programme\eMule
2006-10-18 22:18 -------- d-------- C:\Programme\TuneUp Utilities
2006-10-18 17:34 -------- d-------- C:\Programme\ICQLite
2006-10-16 23:46 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-16 23:46 -------- d-------- C:\Programme\LaserSoft
2006-10-16 23:09 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Lasersoft Imaging
2006-10-16 17:58 -------- d-------- C:\Programme\DTC
2006-10-14 20:41 -------- d-------- C:\Programme\ABBYY
2006-10-14 20:12 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ABBYY
2006-10-13 21:00 -------- d-------- C:\Programme\Adobe
2006-10-12 18:42 -------- d-------- C:\Programme\Advanced System Products, Inc
2006-10-12 17:04 0 --a------ C:\CONFIG.SYS
2006-10-06 17:09 -------- d-------- C:\Programme\MSN Messenger
2006-08-27 16:21 -------- d-------- C:\Programme\EXIF Pilot
2006-08-27 16:18 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Adobe
2006-08-27 16:17 30 --a------ C:\Programme\Exiferupdate.ini
2006-08-27 15:36 -------- d-------- C:\Programme\FredMiranda
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AWMON"="\"C:\\Programme\\Lavasoft\\Ad-Aware SE Professional\\Ad-Watch.exe\""
"D-Link Air Utility"="C:\\Programme\\D-Link\\Air Utility\\AirCFG.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"AVGCtrl"="C:\\Programme\\AVPersonal\\AVGNT.EXE /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,40,01,00,00,00,00,00,00,00,05,00,00,92,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Microsoft Media Manager"="MedMan.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Microsoft Media Manager"="MedMan.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Microsoft Media Manager"="MedMan.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"Microsoft Media Manager"="MedMan.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Programme\\AVPersonal\\INFECTED\\READER_SL.EXE.VIR "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ISDNWatch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\ISDNWatch.lnk"
"backup"="C:\\WINDOWS\\pss\\ISDNWatch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\FRITZ!\\IWatch.exe "
"item"="ISDNWatch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microtek Scanner Finder.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microtek Scanner Finder.lnk"
"backup"="C:\\WINDOWS\\pss\\Microtek Scanner Finder.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Microtek\\SCANWI~1\\SCANNE~1.EXE "
"item"="Microtek Scanner Finder"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Scanner Finder.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Scanner Finder.lnk"
"backup"="C:\\WINDOWS\\pss\\Scanner Finder.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\SCANWI~1\\SCANNE~1.EXE "
"item"="Scanner Finder"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^MsgPlus.exe]
"path"="C:\\Dokumente und Einstellungen\\Besitzer\\Startmenü\\Programme\\Autostart\\MsgPlus.exe"
"backup"="C:\\WINDOWS\\pss\\MsgPlus.exeStartup"
"location"="Startup"
"command"="C:\\Dokumente und Einstellungen\\Besitzer\\Startmenü\\Programme\\Autostart\\MsgPlus.exe"
"item"="MsgPlus"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^Watch.lnk]
"path"="C:\\Dokumente und Einstellungen\\Besitzer\\Startmenü\\Programme\\Autostart\\Watch.lnk"
"backup"="C:\\WINDOWS\\pss\\Watch.lnkStartup"
"location"="Startup"
"command"="C:\\WINDOWS\\twain_32\\A4CIS600\\WATCH.exe "
"item"="Watch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="C:\\Programme\\AVPersonal\\AVGNT.EXE /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Mixer"
"hkey"="HKLM"
"command"="Mixer.exe /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\D-Link Air Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AirCFG"
"hkey"="HKLM"
"command"="C:\\Programme\\D-Link\\Air Utility\\AirCFG.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=dword:00000002
"C-DillaCdaC11BA"=dword:00000002
"CPUCooLServer"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-25 11:14:03.03
C:\ComboFix.txt ... 06-10-25 11:14



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F082-30C9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.05.2005 04:19 291 wuweb.inf
29.03.2005 20:43 65 desktop.ini

15 Datei(en) 2.923.720 Bytes
0 Verzeichnis(se), 10.412.650.496 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F082-30C9

Verzeichnis von C:\

25.10.2006 12:46 0 sys.txt
25.10.2006 12:46 1.022 down.txt
25.10.2006 12:46 117 tmp.txt
25.10.2006 12:46 1.950 system.txt
25.10.2006 12:45 136 systemtemp.txt
25.10.2006 12:45 97.631 system32.txt
25.10.2006 12:28 805.306.368 pagefile.sys
25.10.2006 11:15 13.779 ComboFix.txt
17.10.2006 19:59 194 boot.ini
12.10.2006 17:04 0 CONFIG.SYS

17 Datei(en) 805.722.849 Bytes
0 Verzeichnis(se), 10.412.638.208 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F082-30C9

Verzeichnis von C:\WINDOWS\system32

25.10.2006 12:28 41.237 nvapps.xml
25.10.2006 11:16 49.152 atrconf.exe.vir
21.10.2006 14:34 2.278 wpa.dbl
18.10.2006 15:57 80.996 samsusrr.exe
18.10.2006 14:38 49.152 confatt.dll
18.10.2006 14:38 143.360 attstat.dll
18.10.2006 14:38 53.248 attprf32.dll
18.10.2006 14:38 352.256 attmgr32.dll
18.10.2006 14:38 40.960 attperf.exe
18.10.2006 14:37 20.480 NETFRTM.DLL.vir
18.10.2006 14:37 28.672 psapdani.dll
13.08.2006 10:49 168.304 FNTCACHE.DAT
09.08.2006 13:48 392.296 perfh009.dat
09.08.2006 13:48 58.596 perfc009.dat
09.08.2006 13:48 405.118 perfh007.dat
09.08.2006 13:48 70.580 perfc007.dat
09.08.2006 13:48 827.488 PerfStringBackup.INI

2000 Datei(en) 381.981.284 Bytes
0 Verzeichnis(se), 10.412.613.632 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F082-30C9

Verzeichnis von C:\WINDOWS

25.10.2006 12:29 0 0.log
25.10.2006 12:29 50 wiaservc.log
25.10.2006 12:29 159 wiadebug.log
25.10.2006 12:28 2.048 bootstat.dat
25.10.2006 11:34 32.622 SchedLgU.Txt
25.10.2006 10:41 8.704 Thumbs.db
25.10.2006 10:41 116 NeroDigital.ini
25.10.2006 10:28 149.869 setupapi.log
23.10.2006 21:25 1.924.333 WindowsUpdate.log
18.10.2006 20:38 877 win.ini
18.10.2006 14:38 57.344 i9frd6a3u.reg
18.10.2006 14:37 3.144.800 ec2md8g.log
17.10.2006 19:59 253 system.ini
16.10.2006 18:32 24.229 Run32A50.mch
16.10.2006 18:17 35 A5W.INI
15.10.2006 18:59 3.144.800 dqpdroc.ini
15.10.2006 14:36 965.722 ntbtlog.txt
15.10.2006 14:19 35 Ulead32.INI
15.10.2006 12:59 0 sc.xml1
06.10.2006 17:35 679 avmcoins.log
19.08.2006 18:35 167.011 setupact.log
14.08.2006 15:35 21 ColorDarkroom.INI
09.08.2006 13:22 7.589 iis6.log
09.08.2006 13:22 35.768 comsetup.log
09.08.2006 13:22 22.675 ntdtcsetup.log
09.08.2006 13:22 36.632 tsoc.log
09.08.2006 13:22 1.355 imsins.log
09.08.2006 13:22 9.969 KB893803v2.log
09.08.2006 13:21 63.105 ocgen.log
09.08.2006 13:21 5.101 ocmsn.log
09.08.2006 13:21 4.527 msgsocm.log
09.08.2006 13:21 69.355 FaxSetup.log
09.08.2006 00:06 3.192.158 setupapi.log.0.old
01.08.2006 19:43 50.766 setuplog.txt
01.08.2006 18:23 1.372 avmadd32.log

145 Datei(en) 22.327.660 Bytes
0 Verzeichnis(se), 10.412.638.208 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F082-30C9

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F082-30C9

Verzeichnis von C:\WINDOWS\Temp



so, das sind alle 6 jeweils mit den aktuellesten einträgen.
Seitenanfang Seitenende
25.10.2006, 18:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 quizzard87

««
Gehe in die registry
Start - Ausfuehren - regedit
bearbeiten - suchen - MedMan.exe - alles loeschen, was du findest

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Media Manager"="MedMan.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Microsoft Media Manager"="MedMan.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Microsoft Media Manager"="MedMan.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"Microsoft Media Manager"="MedMan.exe"
_________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr

Files to delete:
C:\WINDOWS\system32\MedMan.exe
C:\WINDOWS\system32\atrconf.exe.vir
C:\WINDOWS\system32\samsusrr.exe
C:\WINDOWS\system32\confatt.dll
C:\WINDOWS\system32\attstat.dll
C:\WINDOWS\system32\attprf32.dll
C:\WINDOWS\system32\attmgr32.dll
C:\WINDOWS\system32\attperf.exe
C:\WINDOWS\system32\NETFRTM.DLL.vir
C:\WINDOWS\system32\psapdani.dll
C:\WINDOWS\sc.xml1
C:\WINDOWS\dqpdroc.ini
C:\WINDOWS\i9frd6a3u.reg

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
loesche das backup vom Avenger unter C:\Avenger\backup.zip

««
arbeite den unteren Teil von der seite ab, um die Windowsupdates wieder funktionabel zu machen
http://virus-protect.org/artikel/spyware/warezov_1.html

««
scanne mit deinem kaspersky im abgesicherten modus und berichte....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.10.2006, 18:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 dj-tschwae

ich sehe keine logs ...und wenn du wild doppeltpostest, so ist es nicht meine Schuld ;)
http://board.protecus.de/t26150-lastpage.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: