Italienischer Dialer

#0
16.10.2006, 20:07
...neu hier

Beiträge: 4
#1 Habe die selben Symptome, wie in http://board.protecus.de/t25831.htm beschrieben und habe versucht die Problemlösung nachzuvollziehen. Mit Combofix und datfind muss ich mich erst schlau machen, falls das log von HijackThis schon einen Hinweis bringt, hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 04:21:47, on 16.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\0190 Warner\w0svc.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\PDFCreatorMessages.exe
D:\Programme\Kerio\Personal Firewall\persfw.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Alcohol\bin\Alcohol 1.9.5\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Jaws PDF Creator\PDFClient.exe
D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\WINDOWS\System32\rundll32.exe
D:\Programme\Eset\nod32kui.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\PROGRA~1\GEMEIN~1\XCPCSync\XCPCME~1.EXE
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\Programme\Hot Keyboard Pro\HotKeyb.exe
D:\Programme\ActiveSync\WCESCOMM.EXE
D:\Programme\Babylon\Babylon.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\lotus\organize\easyclip.exe
D:\lotus\smartctr\smartctr.exe
D:\lotus\smartctr\suitest.exe
D:\Programme\Mightyfax\MFNTCTL.EXE
D:\Programme\Quick View Plus\PROGRAM\qvp32.exe
D:\Programme\exe\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewebtown.com/freesec/thankyou.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - D:\Programme\Prompt7\PRMTIE\prmtie.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PDFCreatorClient] D:\Programme\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acronis True Image Monitor] D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [XTNDConnect PC - WinSmartPhone] D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\WINSMA~1\AUTODE~1.EXE
O4 - HKLM\..\Run: [XTNDConnect PC - LtOrg97] D:\PROGRA~1\GEMEIN~1\XCPCSync\XCPCME~1.EXE
O4 - HKLM\..\Run: [XTNDConnect PC - ScheduleSync] D:\PROGRA~1\XTNDCO~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [Hot Keyboard] D:\Programme\Hot Keyboard Pro\HotKeyb.exe -minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Babylon Translator] D:\Programme\Babylon\Babylon.exe
O4 - Startup: Adobe Gamma.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Lotus SmartCenter.lnk = D:\lotus\smartctr\smartctr.exe
O4 - Global Startup: Lotus SuiteStart.lnk = D:\lotus\smartctr\suitest.exe
O4 - Global Startup: MightyFAX Controller.lnk = D:\Programme\Mightyfax\MFNTCTL.EXE
O4 - Global Startup: Quick View Plus.lnk = D:\Programme\Quick View Plus\PROGRAM\qvp32.exe
O8 - Extra context menu item: Assign &hot key - D:\Programme\Hot Keyboard Pro\IEScript.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Programme\Prompt7\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Programme\Prompt7\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Programme\Prompt7\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Programme\Prompt7\PRMTIE\options.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128816705703
O18 - Protocol: schmap-help - {2CF664A0-5EA6-47B5-884C-433A60145F78} - D:\Programme\Schmap\Schmap Player\SchmapDocLib.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - D:\Programme\0190 Warner\w0svc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - D:\WINDOWS\system32\PDFCreatorMessages.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol\bin\Alcohol 1.9.5\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
--
NOD32 im abges. Modus, Spybot, PestPatrol und f-secure Blacklight haben nichts ergeben. Was soll ich als nächstes tun?
MfG
Stefan
Seitenanfang Seitenende
17.10.2006, 02:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2006, 11:44
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina,
Es sieht so aus, als hätte CounterSpy letzte Nacht das Problem gelöst, nachdem ich mich endlich entschlossen hatte, die Systemwiederherstellung zu deaktivieren. Dazu eine grundsätzliche (Anfänger)frage: Wäre es möglich gewesen, einen Schädling durch Rücksetzen auf einen Wiederherstellungspunkt zu beseitigen (diesen Weg wollte ich mir offen halten), oder ist es zwingend notwendig, die Systemwiederherstellung zu deaktivieren, damit Schädlinge nicht immer neu geladen werden?
Ich poste heute Abend das Ergebnis von CounterSpy und werde dann weiter nach Deiner Anleitung vorgehen. Viene Dank!
MfG
Stefan
Seitenanfang Seitenende
17.10.2006, 14:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 das zuruecksetzen hat manchmal Erfolg...manchmal nicht, abhaengig, wo sich die Malware festsetzt.
poste also das log vom Counterspy und eventuell noch meine logs, dann sehen wir weiter ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2006, 23:51
...neu hier

Themenstarter

Beiträge: 4
#5 CounterSpy log:

Spyware Scan Details
Start Date: 16.10.2006 23:07:00
End Date: 17.10.2006 00:25:31
Total Time: 1 hrs 18 mins 31 secs
Detected spyware
PC Tattletale Commercial Key Logger more information...
Details: PC Tattletale's Advanced Keystroke Logger records all keystrokes - Including passwords, "hidden characters" and true keystrokes too. It
even features to captures both in AND outbound mails
Status: Quarantined
Packed.Win32.Klone.g Trojan more information...
Status: Quarantined
Virtumonde Adware (General) more information...
Details: Virtumonde is an adware program that displays pop-up advertisements on the desktop. Virtumonde also downloads other software from
various remote servers.
Status: Quarantined
Trojan.Emcodec Trojan more information...
Status: Quarantined
Trojan.WinlogonHook.Delf.A Trojan more information...
Details: WinlogonHook.Delf.A is a backdoor trojan that gives an attacker the ability to control the infected machine without the user's knowledge.
Status: Quarantined
Cookie: GeoCities Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning
visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted
Infected files detected
d:\windows\system32\kbdmonitor.lib
d:\windows\system32\kbdmonitor.exp
Infected files detected
d:\windows\temp\win13.tmp
d:\windows\temp\wina.tmp
Infected files detected
d:\windows\system32\qpqss.bak1
d:\windows\system32\qpqss.ini
d:\windows\system32\ssqpq.dll
D:\WINDOWS\system32\khfghhh.dll
Infected files detected
D:\Programme\cracks\vissie\run.exe
Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Data 128216261
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR MSLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Brnd 779
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SCLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BPTV 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PID 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Rid 200
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LID 49
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR OCCUR 1
Infected cookies detected
d:\dokumente und einstellungen\user\cookies\user@geocities[2].txt
Seite 1 von 1
17.10.2006 file://D:\Dokumente%20und%20Einstellungen\user\Lokale%20Einstellungen\Anwendungsda...

Combofix:

user - 06-10-17 23:04:47,34 Service Pack 1
ComboFix 06.10.16 - Running from: "G:\"

((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 ))))))))))))))))))))))))))))))))))


2006-10-17 19:36 40,973 --------- D:\WINDOWS\system32\tuvtqpn.dll
2006-10-14 00:33 118,272 --a------ D:\WINDOWS\W0190WUn.EXE
2006-10-13 22:42 98,324 --a------ D:\WINDOWS\system32\oseglari.dll
2006-10-13 22:40 143,380 --a------ D:\WINDOWS\system32\hpjcnuxq.exe
2006-10-13 22:30 684,084 --------- D:\WINDOWS\system32\ssqpq.dll
2006-10-12 21:59 18,432 --a------ D:\WINDOWS\system32\wintuh32.dll
2006-10-08 12:55 53,248 --a------ D:\WINDOWS\uninstbb.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-17 22:37 -------- d-------- D:\Programme\Mozilla Firefox
2006-10-17 16:22 -------- d-------- D:\Programme\cracks
2006-10-17 16:21 -------- d-------- D:\Programme\CounterSpy
2006-10-17 14:14 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Adobe
2006-10-16 23:29 -------- d-------- D:\Programme\exe
2006-10-16 08:10 -------- d-------- D:\Programme\fsbl
2006-10-15 17:40 -------- d-------- D:\Programme\PestPatrol
2006-10-15 17:38 -------- d-------- D:\Programme\AdvOfficePasswRec
2006-10-15 15:26 -------- d-------- D:\Programme\Gemeinsame Dateien\Scanner
2006-10-15 15:26 -------- d-------- D:\Programme\Gemeinsame Dateien
2006-10-14 11:20 10687 --a------ D:\Programme\Gemeinsame Dateien\{DC95971F-05DB-3079-0902-04030105002b}.zip
2006-10-14 11:20 102637 --a------ D:\Programme\Gemeinsame Dateien\{3C95971F-05DB-3079-0902-04030105002b}.zip
2006-10-14 10:06 -------- d-------- D:\Programme\Babylon
2006-10-14 02:05 159769 --a------ D:\WINDOWS\system32\rasapi32.dll
2006-10-14 00:33 -------- d-------- D:\Programme\0190 Warner
2006-10-12 01:08 -------- d-------- D:\Programme\Sprite Backup
2006-10-12 00:45 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Canon
2006-10-11 14:25 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Hot Keyboard
2006-10-09 20:28 -------- d-------- D:\Programme\X1
2006-10-09 20:26 -------- d-------- D:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-09 19:41 -------- d-------- D:\Programme\WinMX
2006-10-08 23:22 -------- d---s---- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Microsoft
2006-10-08 20:17 -------- d-------- D:\Programme\IntellisyncYahoo
2006-10-08 16:37 -------- d-------- D:\Programme\Superior Search
2006-10-08 16:37 -------- d-------- D:\Programme\Gemeinsame Dateien\NeuroPower
2006-10-01 23:59 -------- d-------- D:\Programme\Outlook Express
2006-09-30 21:56 38439 --a------ D:\Dokumente und Einstellungen\user\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
2006-09-27 21:22 -------- d-------- D:\Programme\Suitcase
2006-09-27 21:18 -------- d--h----- D:\Programme\InstallShield Installation Information
2006-09-27 00:17 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Aladdin Systems
2006-09-25 10:24 9903 --a------ D:\Dokumente und Einstellungen\user\Anwendungsdaten\Lotus Organizer 5.x.TSK
2006-09-24 01:25 -------- d-------- D:\Programme\Brockhaus Multimedia
2006-09-18 18:35 -------- d-------- D:\Programme\YearPlanner
2006-09-14 19:43 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Quark
2006-09-12 22:01 -------- d-------- D:\Programme\Group Mail
2006-09-10 13:44 -------- d-------- D:\Programme\Internet Explorer
2006-09-10 13:25 -------- d-------- D:\Programme\PocketBackup
2006-09-09 10:01 -------- d-------- D:\Programme\OrgUpgrade
2006-09-09 10:01 -------- d-------- D:\Programme\Gemeinsame Dateien\RandSync
2006-09-07 18:37 42237 --a------ D:\Dokumente und Einstellungen\user\Anwendungsdaten\Lotus Organizer 5.x.ADR
2006-09-07 01:19 -------- d-------- D:\Programme\ActiveSync
2006-09-06 23:16 -------- d-------- D:\Programme\EditNumbers
2006-09-06 22:16 -------- d-------- D:\Programme\Gemeinsame Dateien\System
2006-09-06 18:18 -------- d-------- D:\Programme\Paragon Software
2006-09-06 16:16 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Sprite PC Agent
2006-09-05 17:13 -------- d-------- D:\Programme\Cammy
2006-09-05 16:50 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\AquaSoft
2006-09-05 16:45 -------- d-------- D:\Programme\Gemeinsame Dateien\AquaSoft
2006-09-05 16:45 -------- d-------- D:\Programme\AquaSoftPhotoAlbum
2006-09-05 01:12 -------- d-------- D:\Programme\Gemeinsame Dateien\ODBC
2006-09-04 16:11 -------- d-------- D:\Programme\VideoReDoPlus
2006-09-04 01:00 -------- d-------- D:\Programme\Live 3.0.4
2006-09-04 01:00 -------- d-------- D:\Programme\Jaws PDF Creator
2006-09-04 01:00 -------- d-------- D:\Programme\Heyers Daten
2006-09-04 01:00 -------- d-------- D:\Programme\Gemeinsame Dateien\Vbox
2006-09-04 01:00 -------- d-------- D:\Programme\DogWaffle
2006-09-04 01:00 -------- d-------- D:\Programme\Common Files
2006-09-04 01:00 -------- d-------- D:\Programme\Call Soft
2006-09-04 01:00 -------- d-------- D:\Programme\AVGeoInter40
2006-09-04 01:00 -------- d-------- D:\Programme\Auto News
2006-09-04 01:00 -------- d-------- D:\Programme\AustrianMap
2006-09-03 23:45 -------- d-------- D:\Programme\DiscCreator
2006-09-03 23:44 -------- d-------- D:\Programme\Gemeinsame Dateien\AVSMedia
2006-09-03 02:03 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Schmap
2006-09-03 01:58 -------- d-------- D:\Programme\Schmap
2006-08-31 14:09 -------- d-------- D:\Programme\Effective Site Studio
2006-08-31 01:40 -------- d-------- D:\Programme\NCH Swift Sound
2006-08-31 01:40 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\NCH Swift Sound
2006-08-26 21:20 -------- d-------- D:\Programme\Calculator Pro
2006-08-26 21:15 74752 --a------ D:\WINDOWS\ST6UNST.EXE
2006-08-26 21:15 532480 --------- D:\WINDOWS\Setup1.exe
2006-08-17 17:30 -------- d-------- D:\Programme\Adobe
2006-08-17 17:29 -------- d-------- D:\Programme\Gemeinsame Dateien\Adobe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Hot Keyboard"="D:\\Programme\\Hot Keyboard Pro\\HotKeyb.exe -minimized"
"H/PC Connection Agent"="\"D:\\Programme\\ActiveSync\\WCESCOMM.EXE\""
"Babylon Translator"="D:\\Programme\\Babylon\\Babylon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"CounterSpyCleaner"="D:\\Programme\\CounterSpy\\sunASCleaner.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE D:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"PDFCreatorClient"="D:\\Programme\\Jaws PDF Creator\\PDFClient.exe"
"NvMediaCenter"="RUNDLL32.EXE D:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"Acronis True Image Monitor"="D:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe"
"Acronis Scheduler2 Service"="D:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe"
"nod32kui"="\"D:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"ISUSPM Startup"="\"D:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe\" -startup"
"ISUSScheduler"="\"D:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"XTNDConnect PC - WinSmartPhone"="D:\\PROGRA~1\\GEMEIN~1\\XCPCSync\\TRANSL~1\\WINSMA~1\\AUTODE~1.EXE"
"XTNDConnect PC - LtOrg97"="D:\\PROGRA~1\\GEMEIN~1\\XCPCSync\\XCPCME~1.EXE"
"XTNDConnect PC - ScheduleSync"="D:\\PROGRA~1\\XTNDCO~1\\SCHEDU~1.EXE"
"0190 Warner"="D:\\PROGRA~1\\0190WA~1\\WARN0190.EXE"
"SunServer"="D:\\Programme\\CounterSpy\\sunserver.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,80,01,00,00,00,00,00,00,80,02,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,cb,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,cb,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="D:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="D:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{076394AD-7FDD-44EF-A075-32C68DBAB99B}"=""
"{0E24427B-DF2A-40EB-980B-A819F5FF3DD0}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLogoff"=dword:00000000
"StartMenuLogOff"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000b5
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="D:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="D:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PC-Bibliothek-Direktsuche.lnk]
"path"="D:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PC-Bibliothek-Direktsuche.lnk"
"backup"="D:\\WINDOWS\\pss\\PC-Bibliothek-Direktsuche.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\PROGRA~1\\BROCKH~1\\PCLib.exe "
"item"="PC-Bibliothek-Direktsuche"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase Startup.lnk]
"path"="D:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Suitcase Startup.lnk"
"backup"="D:\\WINDOWS\\pss\\Suitcase Startup.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\PROGRA~1\\Suitcase\\Suitcase.exe -Startup"
"item"="Suitcase Startup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copernic Desktop Search]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CopernicDesktopSearch"
"hkey"="HKCU"
"command"="\"D:\\Programme\\Copernic Desktop Search\\CopernicDesktopSearch.exe\" /tray"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="D:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxTalk Messenger Pro 7.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FTClCtrl"
"hkey"="HKLM"
"command"="\"D:\\Programme\\FaxTalk Messenger Pro 7.0\\FTClCtrl.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AbbyyNewsReader"
"hkey"="HKLM"
"command"="D:\\Programme\\FineReader 7.0\\AbbyyNewsReader.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WCESCOMM"
"hkey"="HKCU"
"command"="\"D:\\Programme\\ActiveSync\\WCESCOMM.EXE\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Laplink PDASync 3.3 - ScheduleSync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SCHEDU~1"
"hkey"="HKLM"
"command"="D:\\PROGRA~1\\LAPLIN~1.3\\SCHEDU~1.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"D:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunServer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sunserver"
"hkey"="HKLM"
"command"="D:\\Programme\\CounterSpy\\sunserver.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"D:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinMX Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WinMX Manager"
"hkey"="HKCU"
"command"="D:\\Programme\\WinMX Manager\\WinMX Manager.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindService"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvtqpn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintuh32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-17 23:06:04.96
D:\ComboFix.txt ... 06-10-17 23:06

Datfind:

1)
Verzeichnis von D:\WINDOWS\system32

17.10.2006 23:44 470.996 qpqss.ini
17.10.2006 23:29 26.324 nvapps.xml
17.10.2006 19:36 40.973 tuvtqpn.dll
15.10.2006 15:14 2.184 wpa.dbl
14.10.2006 02:05 159.769 rasapi32.dll
14.10.2006 02:05 159.769 rasTMP.tmp
13.10.2006 22:43 98.324 oseglari.dll
13.10.2006 22:42 143.380 hpjcnuxq.exe
13.10.2006 22:39 684.084 ssqpq.dll
12.10.2006 21:59 18.432 wintuh32.dll
09.10.2006 00:31 311.604 perfh009.dat
09.10.2006 00:31 48.156 perfc007.dat
09.10.2006 00:31 316.594 perfh007.dat
09.10.2006 00:31 39.992 perfc009.dat
09.10.2006 00:31 721.390 PerfStringBackup.INI
27.09.2006 22:26 386.408 FNTCACHE.DAT
27.09.2006 21:20 47 imon1.dat
02.07.2006 22:52 42 nt32200ax1.dll
01.07.2006 01:19 455 ws329363.ocx

2)
Datentr„ger in Laufwerk D: ist Part.D
Volumeseriennummer: DC95-971F

Verzeichnis von D:\DOKUME~1\user\LOKALE~1\Temp

17.10.2006 23:40 0 ~dtpdf.tmp
17.10.2006 23:40 0 Acr33.tmp
17.10.2006 23:40 3.363 Acr31.tmp
17.10.2006 23:40 3.631 Acr32.tmp
17.10.2006 23:29 224 WCESCOMM.LOG
17.10.2006 23:29 49.152 ~DF1DA1.tmp
17.10.2006 23:29 32.768 ~DFDD06.tmp
17.10.2006 23:28 16.384 ~DF6A8B.tmp
17.10.2006 23:26 32.768 ~DFA812.tmp
17.10.2006 23:26 32.768 ~DFA3F8.tmp
17.10.2006 23:10 49.152 ~DFEF1.tmp
17.10.2006 23:10 32.768 ~DFE9FF.tmp
17.10.2006 23:09 16.384 ~DF7B9F.tmp
13 Datei(en) 269.362 Bytes
0 Verzeichnis(se), 4.971.470.848 Bytes frei

3)
Datentr„ger in Laufwerk D: ist Part.D
Volumeseriennummer: DC95-971F

Verzeichnis von D:\WINDOWS

17.10.2006 23:47 8.544 ModemLog_Trust 56K V92 USB Modem.txt
17.10.2006 23:28 0 0.log
17.10.2006 23:28 159 wiadebug.log
17.10.2006 23:28 50 wiaservc.log
17.10.2006 23:27 2.048 bootstat.dat
17.10.2006 23:26 32.626 SchedLgU.Txt
17.10.2006 21:49 795.163 setupapi.log
17.10.2006 16:44 946 win.ini
17.10.2006 16:44 227 system.ini
17.10.2006 16:00 92 mfpd.ini
17.10.2006 13:46 728.638 ntbtlog.txt
15.10.2006 16:08 0 PestPatrol5.INI
14.10.2006 00:33 2.258 0190Warner_Uninstall.ins
11.10.2006 18:53 172 Photoshop Import Prefs
11.10.2006 00:21 10.240 Thumbs.db
09.10.2006 00:35 8.652 COM+.log
09.10.2006 00:31 627.538 iis6.log
09.10.2006 00:31 75.317 comsetup.log
09.10.2006 00:31 10.478 imsins.log
09.10.2006 00:31 102.731 tsoc.log
09.10.2006 00:31 5.817 tabletoc.log
09.10.2006 00:31 54.363 ntdtcsetup.log
09.10.2006 00:31 8.620 ocmsn.log
09.10.2006 00:31 155.832 ocgen.log
09.10.2006 00:31 10.198 msgsocm.log
09.10.2006 00:31 155.244 FaxSetup.log
09.10.2006 00:31 28.987 netfxocm.log
09.10.2006 00:29 95.418 msmqinst.log
09.10.2006 00:24 5.177 imsins.BAK
08.10.2006 21:09 190 datawriter.log
08.10.2006 21:09 5.854 coredw.log
08.10.2006 12:55 53.248 uninstbb.exe
04.10.2006 01:24 192 winamp.ini
02.10.2006 00:42 2.048 PC-BIB.DAT
29.09.2006 17:03 0 err.txt
26.09.2006 22:19 174.849 setupact.log
26.09.2006 22:07 211 SchmapPlayer.INI
19.09.2006 17:16 1.957 aoxppr.ini
19.09.2006 17:14 214 avpr.ini
09.09.2006 10:01 1.572 HRMY98.MIF
08.09.2006 21:14 1.135 WINCMD.INI
08.09.2006 21:14 2.294 wcx_ftp.ini
05.09.2006 01:13 1.678 musi.ini
03.09.2006 21:18 52 videodeLuxe.INI
03.09.2006 03:03 27.311 wmsetup.log
03.09.2006 02:42 70 musicmaker.INI
26.08.2006 21:15 532.480 Setup1.exe
26.08.2006 21:15 74.752 ST6UNST.EXE
26.08.2006 21:15 1.689 ST6UNST.000
17.08.2006 15:41 957 ODBC.INI
14.08.2006 17:47 117.936 Windows Update.log
05.07.2006 02:30 42 CDCOPS.INI
05.07.2006 02:01 558 IPIXNets.log
05.07.2006 01:59 401 IPIXView.log
02.07.2006 22:52 32 ntcheck3232bx1.dll
02.07.2006 20:54 206 EurekaLog.ini

4)
Datentr„ger in Laufwerk D: ist Part.D
Volumeseriennummer: DC95-971F

Verzeichnis von D:\WINDOWS\Temp

17.10.2006 23:45 0 win36.tmp
17.10.2006 23:43 0 win35.tmp
17.10.2006 23:41 0 win34.tmp
17.10.2006 23:39 0 win30.tmp
17.10.2006 23:37 0 win3.tmp
5 Datei(en) 0 Bytes
0 Verzeichnis(se), 4.971.458.560 Bytes frei

5)
Datentr„ger in Laufwerk D: ist Part.D
Volumeseriennummer: DC95-971F

Verzeichnis von D:\WINDOWS\Downloaded Program Files

07.10.2005 01:03 65 desktop.ini
10.06.2005 10:44 417.792 isusweb.dll
26.05.2005 04:19 291 wuweb.inf
25.08.2003 18:12 1.096 iuctl.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
7 Datei(en) 641.590 Bytes
0 Verzeichnis(se), 4.971.360.256 Bytes frei

6)
Datentr„ger in Laufwerk D: ist Part.D
Volumeseriennummer: DC95-971F

Verzeichnis von D:\

17.10.2006 23:49 0 sys.txt
17.10.2006 23:48 603 down.txt
17.10.2006 23:48 454 tmp.txt
17.10.2006 23:47 9.831 system.txt
17.10.2006 23:46 865 systemtemp.txt
17.10.2006 23:44 113.572 system32.txt
17.10.2006 23:27 805.306.368 pagefile.sys
17.10.2006 23:06 16.292 ComboFix.txt
11.10.2006 14:33 1.559 macro.tbl
08.10.2006 20:26 494 emailscan.log
03.09.2006 22:06 170.407.940 Kuenstler (02).vob
03.09.2006 22:05 68.519.940 FuerElise (02).vob
13.08.2006 04:09 183.408 TREEINFO.WC
01.07.2006 01:19 531 os100944.bin
27.06.2006 01:38 181 IALicense.cfg
22.12.2005 01:23 5.300.949 L.Bernstein Inst.rar
06.11.2005 16:30 27.136 116-Prot111005.doc
19.10.2005 15:29 0 15.tmp
19.10.2005 15:29 0 12.tmp
18.10.2005 14:34 0 18.tmp
18.10.2005 14:32 0 16.tmp
18.10.2005 14:22 0 14.tmp
18.10.2005 14:22 0 11.tmp
17.10.2005 02:28 457 inst_ak051012.log
09.10.2005 03:21 4.630 os136207.bin
15.03.2005 13:22 215.571 scrapbk.xpi.zip
26 Datei(en) 1.050.110.781 Bytes
0 Verzeichnis(se), 4.971.356.160 Bytes frei
--
Schadprogramm ist wieder da, wird aber von CounterSpy abgewehrt.
Bitte um weitee Anweisungen. Danke!
Mit freundlichen Grüßen
Stefan
Seitenanfang Seitenende
18.10.2006, 01:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
koiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvtqpn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintuh32

Files to delete:
D:\Programme\Gemeinsame Dateien\{DC95971F-05DB-3079-0902-04030105002b}.zip
D:\Programme\Gemeinsame Dateien\{3C95971F-05DB-3079-0902-04030105002b}.zip
D:\WINDOWS\system32\qpqss.ini
D:\WINDOWS\system32\tuvtqpn.dll
D:\WINDOWS\system32\oseglari.dll
D:\WINDOWS\system32\hpjcnuxq.exe
D:\WINDOWS\system32\ssqpq.dll
D:\WINDOWS\system32\wintuh32.dll
D:\WINDOWS\system32\imon1.dat
D:\Programme\exe
D:\Programme\fsbl
D:\WINDOWS\Temp\win36.tmp
D:\WINDOWS\Temp\win35.tmp
D:\WINDOWS\Temp\win34.tmp
D:\WINDOWS\Temp\win30.tmp
D:\WINDOWS\Temp\win3.tmp

Folders to delete:
D:\Programme\cracks
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2006, 23:25
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Sabina,
Aufrichtigen Dank für die kompetente Hilfe. Es gab noch Probleme mit zwei BHO Einträgen, seit ich die gelöscht habe, gibt weder Counter Spy noch der 0190-Warner irgendwelche Meldungen ab. Welcher Schutz ist vor solchen BHOs empfehlenswert? (Habe jetzt einmal den Internet Explorer per Firewall ausgeschlossen). Ist selbst Firefox anfällig? Oder stellt OutlookExpress eine Gefahr dar, obwohl ich nur Textmails schreibe und empfange und die Vorschau deaktiviert habe?
Mit freundlichen Grüßen
Stefan
Seitenanfang Seitenende
18.10.2006, 23:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 loesche das backup vom avenger unter C:\Avenger\backup.zip

eventueller schutz:
http://virus-protect.org/artikel/tools/sandboxie.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: