Popups auf dem Desktop (aktualisiert)

#1 Guten Tag,
Ich habe seit einiger zeit nervige Popups, welche sich einfach öffnen, ohne dass ich im Internetexplorer bin. Ich habe schon die Logfiles erstellt, wie es in einem anderem Thread beschrieben wurde.

Hier die Logfiles:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\WINDOWS\system32

13.10.2006 15:51 2.206 wpa.dbl
04.10.2006 18:19 1.760 ObjSafe.tlb
26.09.2006 20:48 16.832 amcompat.tlb
26.09.2006 20:48 23.392 nscompat.tlb
13.09.2006 07:02 1.084.416 msxml3.dll
04.09.2006 08:12 1.494.016 shdocvw.dll
30.08.2006 15:05 311.604 perfh009.dat
30.08.2006 15:05 39.992 perfc009.dat
30.08.2006 15:05 316.594 perfh007.dat
30.08.2006 15:05 48.156 perfc007.dat
30.08.2006 15:05 723.744 PerfStringBackup.INI
27.08.2006 15:31 20.480 spr4.exe
25.08.2006 17:46 617.472 comctl32.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 15:39 90.296 FNTCACHE.DAT
16.08.2006 13:58 100.352 6to4svc.dll
09.08.2006 13:40 1.524 d3d8caps.dat
09.08.2006 12:03 8.325.544 MRT.exe
07.08.2006 09:50 1.484.592 LegitCheckControl.DLL
06.08.2006 18:11 0 h323log.txt
06.08.2006 18:03 7.006 jupdate-1.5.0_06-b05.log
06.08.2006 17:36 261 $winnt$.inf
06.08.2006 17:25 2.951 CONFIG.NT
06.08.2006 17:21 488 logonui.exe.manifest

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\DOKUME~1\INSA\LOKALE~1\Temp

16.10.2006 20:33 512 ~DF1176.tmp
16.10.2006 20:33 16.384 ~DF1164.tmp
16.10.2006 20:33 512 ~DF114F.tmp
16.10.2006 20:33 16.384 ~DF113D.tmp
16.10.2006 20:33 512 ~DF1128.tmp
16.10.2006 20:33 16.384 ~DF110B.tmp
16.10.2006 20:33 512 ~DF10F1.tmp
16.10.2006 20:33 16.384 ~DF10D9.tmp
16.10.2006 20:27 512 ~DF76DD.tmp
16.10.2006 20:27 180.224 ~DF76B1.tmp
16.10.2006 20:27 512 ~DF4D83.tmp
16.10.2006 20:27 180.224 ~DF4D08.tmp
16.10.2006 20:27 16.384 ~DF4687.tmp
16.10.2006 20:27 512 ~DF305F.tmp
16.10.2006 20:27 16.384 ~DF3046.tmp
16.10.2006 19:58 16.384 ~DFB3E9.tmp
16.10.2006 19:58 16.384 ~DFB3C2.tmp
16.10.2006 19:58 16.384 ~DFB35B.tmp
16.10.2006 19:58 16.384 ~DFB32C.tmp
16.10.2006 19:33 16.384 ~DFAF96.tmp
16.10.2006 19:33 16.384 ~DF6A49.tmp
21 Datei(en) 560.640 Bytes
0 Verzeichnis(se), 2.539.036.672 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\WINDOWS\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\WINDOWS

16.10.2006 20:25 1.116.621 WindowsUpdate.log
16.10.2006 19:32 442.744 setupapi.log
16.10.2006 19:28 0 0.log
16.10.2006 19:27 2.048 bootstat.dat
16.10.2006 12:20 32.768 unstall.exe
16.10.2006 12:20 175 media-motor.net
16.10.2006 12:20 147.456 aff_0006.exe
16.10.2006 12:20 45.056 next06.exe
16.10.2006 12:20 2 tempf.txt
15.10.2006 12:29 19.602 SchedLgU.Txt
15.10.2006 12:23 483.101 iis6.log
15.10.2006 12:23 148.878 comsetup.log
15.10.2006 12:23 88.606 ntdtcsetup.log
15.10.2006 12:23 193.552 tsoc.log
15.10.2006 12:23 1.393 imsins.log
15.10.2006 12:23 21.467 tabletoc.log
15.10.2006 12:23 23.115 ocmsn.log
15.10.2006 12:23 13.744 KB924191.log
15.10.2006 12:23 29.112 MedCtrOC.log
15.10.2006 12:23 73.185 netfxocm.log
15.10.2006 12:23 204.272 ocgen.log
15.10.2006 12:23 20.956 msgsocm.log
15.10.2006 12:23 413.413 FaxSetup.log
15.10.2006 12:23 132.802 msmqinst.log
15.10.2006 12:23 21.197 updspapi.log
15.10.2006 12:22 1.393 imsins.BAK
15.10.2006 12:22 13.372 KB922819.log
15.10.2006 12:20 11.565 KB923414.log
15.10.2006 12:19 11.557 KB924496.log
15.10.2006 12:18 8.895 KB923191.log
12.10.2006 15:49 754 WORDPAD.INI
10.10.2006 15:06 55.685 wmsetup.log
07.10.2006 14:54 45.056 newpop06.exe
05.10.2006 17:36 260 mm06z.ini
03.10.2006 14:12 233 mm06y.ini
03.10.2006 14:11 272.863 popupwithcast2.exe
30.09.2006 22:36 159 wiadebug.log
30.09.2006 22:35 50 wiaservc.log
29.09.2006 17:25 175.180 snaper.exe
29.09.2006 14:19 1.830 spupdsvc.log
28.09.2006 14:06 33.045 KB917734.log
28.09.2006 14:05 10.642 KB925486.log
26.09.2006 20:52 460 wmsetup10.log
26.09.2006 20:41 316.640 WMSysPr9.prx
17.09.2006 12:32 15.879 KB920685.log
17.09.2006 12:31 18.060 KB920872.log
17.09.2006 12:31 16.071 KB919007.log
17.09.2006 12:30 9.417 KB922582.log
10.09.2006 19:31 267.228 popupwithcast.exe
16.08.2006 17:56 608 CDPLAYER.UNI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.10.2006 10:16 79.736 motorsix.ocx
04.10.2006 19:58 1.466 motorsix.inf
30.08.2006 15:09 205.264 speedtest2.dll
06.08.2006 17:21 65 desktop.ini
27.07.2006 13:52 367 LegitCheckControl.inf
24.07.2006 10:24 85.504 UERSU_0001_N91M2407NetInstaller.exe
22.06.2006 11:41 5.032 swflash.inf
08.05.2006 01:54 1.417 amm06.inf
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
03.06.2002 17:53 144 QTPlugin.inf
10 Datei(en) 379.871 Bytes
0 Verzeichnis(se), 2.539.151.360 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\

16.10.2006 20:40 0 sys.txt
16.10.2006 20:39 785 down.txt
16.10.2006 20:39 117 tmp.txt
16.10.2006 20:34 7.748 system.txt
16.10.2006 20:34 1.271 systemtemp.txt
16.10.2006 20:31 90.341 system32.txt
16.10.2006 20:01 201.326.592 pagefile.sys
16.10.2006 19:27 133.787.648 hiberfil.sys
26.09.2006 20:58 268 sqmdata15.sqm
26.09.2006 20:58 244 sqmnoopt15.sqm
17.09.2006 12:29 208 sqmdata14.sqm
17.09.2006 12:29 208 sqmdata13.sqm
17.09.2006 12:29 136 sqmnoopt14.sqm
17.09.2006 12:29 268 sqmdata12.sqm
17.09.2006 12:29 136 sqmnoopt13.sqm
17.09.2006 12:29 244 sqmnoopt12.sqm
13.09.2006 15:13 118.784 AutoSearch.dll
12.09.2006 22:34 268 sqmdata11.sqm
12.09.2006 22:34 244 sqmnoopt11.sqm
02.09.2006 16:18 268 sqmdata10.sqm
02.09.2006 16:18 244 sqmnoopt10.sqm
28.08.2006 15:20 232 sqmdata09.sqm
28.08.2006 15:20 244 sqmnoopt09.sqm
28.08.2006 15:17 268 sqmdata08.sqm
28.08.2006 15:17 244 sqmnoopt08.sqm
20.08.2006 21:50 304 sqmdata07.sqm
20.08.2006 21:50 244 sqmnoopt07.sqm
20.08.2006 13:44 268 sqmdata06.sqm
20.08.2006 13:44 244 sqmnoopt06.sqm
18.08.2006 19:58 232 sqmdata05.sqm
18.08.2006 19:58 244 sqmnoopt05.sqm
18.08.2006 18:59 268 sqmdata04.sqm
18.08.2006 18:59 244 sqmnoopt04.sqm
17.08.2006 23:08 292 sqmdata03.sqm
17.08.2006 23:08 244 sqmnoopt03.sqm
16.08.2006 22:57 292 sqmdata02.sqm
16.08.2006 22:57 244 sqmnoopt02.sqm
16.08.2006 13:41 268 sqmdata01.sqm
16.08.2006 13:41 244 sqmnoopt01.sqm
16.08.2006 10:48 232 sqmdata00.sqm
16.08.2006 10:48 244 sqmnoopt00.sqm
06.08.2006 17:25 0 IO.SYS
06.08.2006 17:25 0 MSDOS.SYS
06.08.2006 17:25 0 CONFIG.SYS
06.08.2006 17:25 0 AUTOEXEC.BAT
06.08.2006 17:11 211 boot.ini

MfG,
devils_grim

-------------

Zitat

popupwithcast

Adware:Adware/TopMoxie

O4 - HKLM\..\Run: [septpop06apsept] C:\program files\popupwithcast\septpop06apsept.exe

%windows%\popupwithcast.exe
%program_files%\popupwithcast\cast.dll
%program_files%\popupwithcast\septpop06apsept.exe
cast.dat
cast.dll
castaux.dll
cload.dat
cp.dat
csys.dat
popupwithcast.exe
septpop06apsept.exe
%program_files%\popupwithcast\castaux.dll
%program_files%\popupwithcast\castgen\h451d3fc629.dat
%program_files%\popupwithcast\castgen\h452159f029.dat
%program_files%\popupwithcast\castgen\reseacher\f451d3fd44d06.dat
%program_files%\popupwithcast\castgen\reseacher\f452159fe4d06.dat
%program_files%\popupwithcast\castgen\u451d3fc84ae1.dat
%program_files%\popupwithcast\castgen\u452159f24ae1.dat
%program_files%\popupwithcast\caststat\cast.dat
%program_files%\popupwithcast\castsys\log.txt
%program_files%\popupwithcast\cload.dat
%program_files%\popupwithcast\cp.dat
%program_files%\popupwithcast\csys.dat

#2 devils_grim

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke schonmal:

Hier kommen die Logs:

1. Combofix:

INSA - 06-10-17 12:00:06,38 Service Pack 2
ComboFix 06.10.16 - Running from: "C:\Dokumente und Einstellungen\INSA"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Inetget2
C:\Programme\Gemeinsame Dateien\{482A11AC-015E-1031-0722-989806230031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 ))))))))))))))))))))))))))))))))))


2006-10-16 12:20 45,056 --a------ C:\WINDOWS\next06.exe
2006-10-07 14:54 45,056 --a------ C:\WINDOWS\newpop06.exe
2006-10-04 19:33 32,768 --a------ C:\WINDOWS\unstall.exe
2006-10-04 19:32 147,456 --a------ C:\WINDOWS\aff_0006.exe
2006-10-04 19:32 118,784 --a------ C:\AutoSearch.dll
2006-10-03 14:11 272,863 --a------ C:\WINDOWS\popupwithcast2.exe
2006-09-29 17:25 175,180 --a------ C:\WINDOWS\snaper.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-17 12:03 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-16 20:17 -------- d-------- C:\Programme\CleanUp!
2006-10-13 17:24 -------- d-------- C:\Programme\Windows Live Safety Center
2006-10-03 17:07 -------- d-------- C:\Programme\Lavasoft
2006-10-03 17:07 -------- d-------- C:\Dokumente und Einstellungen\INSA\Anwendungsdaten\Lavasoft
2006-10-03 17:05 -------- d-------- C:\Programme\ICQToolbar
2006-10-02 12:07 -------- d-------- C:\Programme\ICQLite
2006-09-26 20:47 -------- d-------- C:\Programme\Windows Media Player
2006-09-21 20:31 -------- d-------- C:\Dokumente und Einstellungen\INSA\Anwendungsdaten\ICQLite
2006-09-21 20:20 -------- d-------- C:\Dokumente und Einstellungen\INSA\Anwendungsdaten\ICQ Toolbar
2006-09-17 12:20 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-13 07:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 19:18 -------- d-------- C:\Programme\QuickTime
2006-09-10 19:31 267228 --a------ C:\WINDOWS\popupwithcast.exe
2006-09-08 15:07 -------- d-------- C:\Programme\MSN Messenger
2006-09-01 15:03 -------- d-------- C:\Programme\T-COM
2006-09-01 15:03 -------- d-------- C:\Programme\InstallShield Installation Information
2006-08-27 15:31 20480 --a------ C:\WINDOWS\system32\spr4.exe
2006-08-25 17:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-24 20:56 -------- d---s---- C:\Dokumente und Einstellungen\INSA\Anwendungsdaten\Microsoft
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-16 13:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-06 17:58 62 --ahs---- C:\Dokumente und Einstellungen\INSA\Anwendungsdaten\desktop.ini
2006-08-06 17:25 0 -rahs---- C:\MSDOS.SYS
2006-08-06 17:25 0 -rahs---- C:\IO.SYS
2006-08-06 17:25 0 --a------ C:\CONFIG.SYS
2006-08-06 17:25 0 --a------ C:\AUTOEXEC.BAT
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"septpop06apsept"="C:\\program files\\popupwithcast2\\sept2pop06apsept.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"mmnext06"="C:\\WINDOWS\\next06.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-17 12:05:08.76
C:\ComboFix.txt ... 06-10-17 12:05




2. Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 12:15:31, on 17.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\program files\popupwithcast2\sept2pop06apsept.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\next06.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\INSA\Eigene Dateien\ICQ Lite\422435241\Sascha_306487176\HijackThis.exe

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: AutoSearchObj Class - {A55581DC-2CDB-4089-8878-71A080B22342} - C:\AUTOSE~1.DLL
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AutoSearch - {A55581DC-2CDB-4089-8878-71A080B22342} - C:\AUTOSE~1.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [septpop06apsept] C:\program files\popupwithcast2\sept2pop06apsept.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [mmnext06] C:\WINDOWS\next06.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.mmohsix.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - http://cabs.media-motor.net/cabs/motorsix.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{192FA1E3-D6A8-4EBF-9A67-26BA5B40EB36}: NameServer = 10.0.0.1,194.25.0.52
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

#4 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\MSN Messenger" >>files.txt
dir "Program Files\popupwithcast2" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Programme\MSN Messenger

08.09.2006 15:07 <DIR> .
08.09.2006 15:07 <DIR> ..
29.07.2006 19:35 312.616 abssm.dll
29.07.2006 19:34 156.968 contact.dll
29.07.2006 19:35 257.832 contactsUX.dll
31.05.2006 14:35 40.824 custsat.dll
28.08.2006 15:19 <DIR> Device Manager
29.07.2006 19:35 1.602.344 dfsr.dll
20.09.2006 18:24 1.637 ErrorResponse.xml
29.07.2006 19:34 186.664 fsshext.8.0.0812.00.dll
29.07.2006 19:32 20.264 highcont.thm
19.07.2006 13:25 1.678.600 lcapi.dll
31.05.2006 14:35 389.912 lcres.dll
31.05.2006 14:31 49.161 license.rtf
29.07.2006 19:35 409.384 lmcdata.dll
31.05.2006 14:30 35.616 MessengerClient.dll
29.07.2006 19:32 53.032 msgrapp.8.0.0812.00.dll
29.07.2006 19:35 210.216 msgsc.8.0.0812.00.dll
29.07.2006 19:36 1.822.504 msgslang.dll
29.07.2006 19:33 2.274.088 msgsres.dll
29.07.2006 19:35 657.192 msgswcam.dll
17.04.2006 13:32 812.368 msidcrl40.dll
16.06.2006 14:38 5.324.584 msn.exe
29.07.2006 18:16 1.002.280 msncall.exe
29.07.2006 18:16 76.072 msncallres.dll
29.07.2006 19:35 929.576 msncore.dll
29.07.2006 19:33 5.354.792 msnmsgr.exe
12.07.2006 02:14 419.624 msvs.exe
08.09.2006 15:07 2.872 msvsConfig2.xml
28.06.2006 02:01 51.488 msvsui.dll
31.05.2006 14:35 11.027 newalert.wma
31.05.2006 14:35 20.039 newemail.wma
31.05.2006 14:35 17.035 nudge.wma
31.05.2006 14:35 17.077 online.wma
31.05.2006 14:35 35.059 outgoing.wma
29.07.2006 18:16 53.544 pcsdll.dll
31.05.2006 14:35 32.055 phone.wma
29.07.2006 19:32 54.568 psmsong.8.0.0812.00.dll
19.07.2006 13:25 3.851.024 RTMPLTFM.dll
31.05.2006 14:35 14.031 type.wma
29.07.2006 19:34 117.544 usnsvc.dll
29.07.2006 19:32 52.008 usnsvcps.dll
31.05.2006 14:35 11.027 vimdone.wma
16.06.2006 14:37 166.696 wmp8stub.dll
31.05.2006 14:36 1.565.480 wmv9vcm.dll
42 Datei(en) 30.150.724 Bytes
3 Verzeichnis(se), 2.530.729.984 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Program Files\popupwithcast2

03.10.2006 14:11 <DIR> .
03.10.2006 14:11 <DIR> ..
12.07.2006 12:25 262.144 Cast.dll
12.07.2006 12:25 98.304 CastAux.dll
03.10.2006 17:31 <DIR> CastGen
06.09.2006 23:06 <DIR> CastStat
17.10.2006 12:06 <DIR> CastSys
12.07.2006 12:25 2.208 cload.dat
12.07.2006 12:26 38.328 cp.dat
12.07.2006 12:26 7.368 csys.dat
03.10.2006 00:40 50.984 sept2pop06apsept.exe
6 Datei(en) 459.336 Bytes
5 Verzeichnis(se), 2.530.729.984 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.05.2006 01:54 1.417 amm06.inf
23.09.2006 16:37 <DIR> CONFLICT.1
29.09.2006 22:30 <DIR> CONFLICT.2
01.10.2006 18:14 <DIR> CONFLICT.3
01.10.2006 20:11 <DIR> CONFLICT.4
09.10.2006 18:20 <DIR> CONFLICT.5
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
27.07.2006 13:52 367 LegitCheckControl.inf
04.10.2006 19:58 1.466 motorsix.inf
05.10.2006 10:16 79.736 motorsix.ocx
03.06.2002 17:53 144 QTPlugin.inf
30.08.2006 15:09 205.264 speedtest2.dll
22.06.2006 11:41 5.032 swflash.inf
24.07.2006 10:24 85.504 UERSU_0001_N91M2407NetInstaller.exe
9 Datei(en) 379.806 Bytes
5 Verzeichnis(se), 2.530.725.888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Dokumente und Einstellungen\INSA

17.10.2006 11:59 <DIR> .
17.10.2006 11:59 <DIR> ..
06.09.2006 19:38 <DIR> Contacts
16.10.2006 20:46 <DIR> Desktop
16.10.2006 20:17 <DIR> Eigene Dateien
06.08.2006 17:40 <DIR> Favoriten
06.08.2006 17:58 <DIR> Startmen�
0 Datei(en) 0 Bytes
7 Verzeichnis(se), 2.530.725.888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Dokumente und Einstellungen\INSA\Eigene Dateien

16.10.2006 20:17 <DIR> .
16.10.2006 20:17 <DIR> ..
03.10.2006 17:07 2.855.080 aawsepersonal106.exe
16.10.2006 20:17 339.257 CleanUp452.exe
02.10.2006 12:33 <DIR> Eigene Bilder
01.10.2006 15:38 <DIR> Eigene Musik
26.09.2006 20:52 <DIR> Eigene Videos
01.09.2006 21:06 6.196 Gespr„ch mit Danny am 1.September 2006.rtf
12.09.2006 14:11 3.126 Gespr„ch mit Danny am 12. September 2006.rtf
14.08.2006 15:47 6.080 Gespr„ch mit Danny am 14. August 2006.rtf
17.09.2006 15:34 37.179 Gespr„ch mit Danny am 17. September 2006.rtf
23.09.2006 18:21 21.207 Gespr„ch mit Danny am 23. September 2006.rtf
26.09.2006 15:08 9.483 Gespr„ch mit Danny am 26. September 2006.rtf
28.09.2006 14:41 4.134 Gespr„ch mit Danny am 28. September 2006.rtf
03.09.2006 15:04 11.952 Gespr„ch mit Danny am 3. September 2006.rtf
04.09.2006 20:20 5.526 Gespr„ch mit Danny am 4. September 2006.rtf
05.09.2006 16:02 6.498 Gespr„ch mit Danny am 5. September 2006.rtf
08.09.2006 16:20 59.994 Gespr„ch mit Danny am 8. September 2006.rtf
12.10.2006 15:24 4.127 Gespr„ch mit Kevin am 12. Oktober 2006.rtf
17.09.2006 20:46 16.590 Gespr„ch mit Kevin am 17. September 2006.rtf
05.10.2006 17:51 1.880 Gespr„ch von Danny und Sascha 05. Oktober 2006.rtf
02.10.2006 12:07 <DIR> ICQ Lite
13.10.2006 17:23 <DIR> Meine empfangenen Dateien
17.10.2006 12:07 578 Meine freigegebenen Ordner.lnk
26.09.2006 20:38 12.814.336 mp10setup3802.exe
30.09.2006 22:29 53.319 Vivi und Ich 2 raumlounge.jpg.jpg
19 Datei(en) 16.256.542 Bytes
7 Verzeichnis(se), 2.530.725.888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Program Files

03.10.2006 14:11 <DIR> .
03.10.2006 14:11 <DIR> ..
21.09.2006 20:19 <DIR> ICQLite
29.09.2006 17:25 <DIR> mediasnapinstall
10.09.2006 19:31 <DIR> popupwithcast
03.10.2006 14:11 <DIR> popupwithcast2
23.09.2006 16:21 <DIR> PrintView
0 Datei(en) 0 Bytes
7 Verzeichnis(se), 2.530.725.888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Dokumente und Einstellungen\INSA\Lokale Einstellungen\Temp

17.10.2006 12:38 <DIR> .
17.10.2006 12:38 <DIR> ..
16.10.2006 21:06 <DIR> hsperfdata_INSA
17.10.2006 12:15 206 jusched.log
17.10.2006 12:36 <DIR> MessengerCache
17.10.2006 12:38 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}18924.html
17.10.2006 12:22 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}8271.html
17.10.2006 12:18 16.384 ~DF89DD.tmp
17.10.2006 12:18 512 ~DF8A31.tmp
17.10.2006 12:18 16.384 ~DF8A46.tmp
17.10.2006 12:18 512 ~DF8A5B.tmp
17.10.2006 12:18 16.384 ~DF8A77.tmp
17.10.2006 12:18 512 ~DF8A93.tmp
17.10.2006 12:18 16.384 ~DF8AA8.tmp
17.10.2006 12:18 512 ~DF8ABD.tmp
17.10.2006 12:06 180.224 ~DFA2D8.tmp
17.10.2006 12:06 512 ~DFA36B.tmp
17.10.2006 12:06 16.384 ~DFB368.tmp
17.10.2006 12:06 512 ~DFB3A4.tmp
17.10.2006 12:23 16.384 ~DFCBA3.tmp
17.10.2006 12:23 512 ~DFCBC0.tmp
17.10.2006 12:23 16.384 ~DFCBD5.tmp
17.10.2006 12:23 512 ~DFCBEA.tmp
17.10.2006 12:23 16.384 ~DFCBFF.tmp
17.10.2006 12:26 32.768 ~DFCC11.tmp
17.10.2006 12:23 16.384 ~DFCC26.tmp
17.10.2006 12:36 65.536 ~DFCC38.tmp
17.10.2006 12:06 16.384 ~DFD293.tmp
24 Datei(en) 448.631 Bytes
4 Verzeichnis(se), 2.530.721.792 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\WINDOWS\Temp

17.10.2006 12:05 <DIR> .
17.10.2006 12:05 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 2.530.721.792 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Temp

21.09.2006 20:31 <DIR> .
21.09.2006 20:31 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 2.530.721.792 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Programme

17.10.2006 12:01 <DIR> .
17.10.2006 12:01 <DIR> ..
17.09.2006 12:20 <DIR> AntiVir PersonalEdition Classic
16.08.2006 17:01 <DIR> CD to MP3 Freeware
16.10.2006 20:17 <DIR> CleanUp!
06.08.2006 17:15 <DIR> ComPlus Applications
16.08.2006 11:31 <DIR> Deep Sleep
16.08.2006 17:07 <DIR> Easy CD-DA Extractor 10
17.10.2006 12:03 <DIR> Gemeinsame Dateien
02.10.2006 12:07 <DIR> ICQLite
03.10.2006 17:05 <DIR> ICQToolbar
01.09.2006 15:03 <DIR> InstallShield Installation Information
16.08.2006 14:57 <DIR> Internet Explorer
06.08.2006 18:03 <DIR> Java
03.10.2006 17:07 <DIR> Lavasoft
16.08.2006 15:39 <DIR> Messenger
06.08.2006 17:27 <DIR> microsoft frontpage
06.08.2006 17:18 <DIR> Movie Maker
06.08.2006 17:13 <DIR> MSN
06.08.2006 17:14 <DIR> MSN Gaming Zone
08.09.2006 15:07 <DIR> MSN Messenger
06.08.2006 17:18 <DIR> NetMeeting
06.08.2006 17:14 <DIR> Online Services
06.08.2006 17:20 <DIR> Online-Dienste
16.08.2006 14:47 <DIR> Outlook Express
12.09.2006 19:18 <DIR> QuickTime
01.09.2006 15:03 <DIR> T-COM
13.10.2006 17:24 <DIR> Windows Live Safety Center
26.09.2006 20:47 <DIR> Windows Media Player
06.08.2006 17:13 <DIR> Windows NT
06.08.2006 17:27 <DIR> xerox
0 Datei(en) 0 Bytes
31 Verzeichnis(se), 2.530.721.792 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Dokumente und Einstellungen\INSA\Lokale Einstellungen\Anwendungsdaten

05.09.2006 15:28 4.608 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16.08.2006 09:28 12.328 GDIPFONTCACHEV1.DAT
06.08.2006 19:47 <DIR> Identities
03.10.2006 18:15 <DIR> Microsoft
2 Datei(en) 16.936 Bytes
2 Verzeichnis(se), 2.530.721.792 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Dokumente und Einstellungen\INSA\Anwendungsdaten

21.09.2006 20:20 <DIR> ICQ Toolbar
21.09.2006 20:31 <DIR> ICQLite
06.08.2006 17:40 <DIR> Identities
03.10.2006 17:07 <DIR> Lavasoft
07.08.2006 20:17 <DIR> Macromedia
06.08.2006 18:03 <DIR> Sun
0 Datei(en) 0 Bytes
6 Verzeichnis(se), 2.530.717.696 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

16.08.2006 12:32 305 addr_file.html
16.10.2006 20:02 <DIR> AntiVir PersonalEdition Classic
26.09.2006 20:32 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
2 Verzeichnis(se), 2.530.717.696 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Programme\Gemeinsame Dateien

17.10.2006 12:03 <DIR> .
17.10.2006 12:03 <DIR> ..
06.08.2006 17:18 <DIR> Dienste
06.08.2006 17:43 <DIR> InstallShield
06.08.2006 17:59 <DIR> Java
06.08.2006 17:40 <DIR> Microsoft Shared
06.08.2006 17:18 <DIR> MSSoap
06.08.2006 17:59 <DIR> ODBC
06.08.2006 17:59 <DIR> SpeechEngines
16.08.2006 14:47 <DIR> System
0 Datei(en) 0 Bytes
10 Verzeichnis(se), 2.530.717.696 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 482A-11AC

Verzeichnis von C:\Windows\tasks

#6 devils_grim

Information
http://virus-protect.org/artikel/spyware/popupwithcast2_remove.html

____________________________________________________________

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSU_0001_N91M2407NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSU_0001_N91M2407NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSU_0001_N91M2407NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UERSU_0001_N91M2407NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UERSU_0001_N91M2407NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\motorsix.inf
C:\WINDOWS\Downloaded Program Files\motorsix.ocx
C:\WINDOWS\Downloaded Program Files\speedtest2.dll
C:\WINDOWS\Downloaded Program Files\UERSU_0001_N91M2407NetInstaller.exe
C:\AutoSearch.dll
C:\WINDOWS\unstall.exe
C:\WINDOWS\media-motor.net
C:\WINDOWS\aff_0006.exe
C:\WINDOWS\next06.exe
C:\WINDOWS\newpop06.exe
C:\WINDOWS\mm06z.ini
C:\WINDOWS\mm06y.ini
C:\WINDOWS\popupwithcast2.exe
C:\WINDOWS\popupwithcast.exe
C:\WINDOWS\system32\spr4.exe
C:\WINDOWS\snaper.exe

Folders to delete:
C:\Program Files\mediasnapinstall
C:\Program Files\popupwithcast
C:\Program Files\popupwithcast2
C:\Program Files\Snap Visual Search

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

_________________________________________________________

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

R3 - URLSearchHook: AutoSearchObj Class - {A55581DC-2CDB-4089-8878-71A080B22342} - C:\AUTOSE~1.DLL

O4 - HKLM\..\Run: [septpop06apsept] C:\program files\popupwithcast2\sept2pop06apsept.exe

O4 - HKLM\..\Run: [mmnext06] C:\WINDOWS\next06.exe

O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.mmohsix.com

O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - http://cabs.media-motor.net/cabs/motorsix.cab

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

**
scanne, lasse alles loeschen und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ein großes Danke schön für die Hilfe. Die Logs werden heute Abend gepostet, wenn der PC wieder zur verfügung steht.

#8 gut, poste alles, dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hier sind schonmal die von avenger und hijackthis, der andere kommt noch


avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kgcdsdem

*******************

Script file located at: \??\C:\WINDOWS\wbjmmfus.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSU_0001_N91M2407NetInstaller.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSU_0001_N91M2407NetInstaller.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSU_0001_N91M2407NetInstaller.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UERSU_0001_N91M2407NetInstaller.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UERSU_0001_N91M2407NetInstaller.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\motorsix.inf deleted successfully.
File C:\WINDOWS\Downloaded Program Files\motorsix.ocx deleted successfully.
File C:\WINDOWS\Downloaded Program Files\speedtest2.dll deleted successfully.
File C:\WINDOWS\Downloaded Program Files\UERSU_0001_N91M2407NetInstaller.exe deleted successfully.
File C:\AutoSearch.dll deleted successfully.
File C:\WINDOWS\unstall.exe deleted successfully.
File C:\WINDOWS\media-motor.net deleted successfully.
File C:\WINDOWS\aff_0006.exe deleted successfully.
File C:\WINDOWS\next06.exe deleted successfully.
File C:\WINDOWS\newpop06.exe deleted successfully.
File C:\WINDOWS\mm06z.ini deleted successfully.
File C:\WINDOWS\mm06y.ini deleted successfully.
File C:\WINDOWS\popupwithcast2.exe deleted successfully.
File C:\WINDOWS\popupwithcast.exe deleted successfully.
File C:\WINDOWS\system32\spr4.exe deleted successfully.
File C:\WINDOWS\snaper.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xtlvqvgx

*******************

Script file located at: \??\C:\Program Files\jtksnvqa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Program Files\mediasnapinstall deleted successfully.
Folder C:\Program Files\popupwithcast deleted successfully.
Folder C:\Program Files\popupwithcast2 deleted successfully.


Folder C:\Program Files\Snap Visual Search not found!
Deletion of folder C:\Program Files\Snap Visual Search failed!

Could not process line:
C:\Program Files\Snap Visual Search
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Hijackthis nachem löschen:

Logfile of HijackThis v1.99.1
Scan saved at 17:33:22, on 18.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\system32\svchost.exe

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AutoSearch - {A55581DC-2CDB-4089-8878-71A080B22342} - C:\AUTOSE~1.DLL (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{192FA1E3-D6A8-4EBF-9A67-26BA5B40EB36}: NameServer = 10.0.0.1,194.25.0.52
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

#10 öffne das HijackThis -- Button "scan" -- Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: AutoSearch - {A55581DC-2CDB-4089-8878-71A080B22342} - C:\AUTOSE~1.DLL (file missing)

PC neustarten

««
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Logfile of HijackThis v1.99.1
Scan saved at 14:24:40, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{192FA1E3-D6A8-4EBF-9A67-26BA5B40EB36}: NameServer = 10.0.0.1,194.25.0.52
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe




Der andere Report kann sich noch son bisschen in die länge ziehen... Ist halt nicht bei mir zuhause der rechner und das dauert ja auch seine zeit mit dem durchlaufen.... aber die popups erscheinen anscheinend nicht mehr, daher müsste mit dem pc jetzt sogut wie alles in ordnung sein

#12 poste dann den report, wenn er fertig erstellt ist - vergiss nicht, alles gefundene zu loeschen
__________
MfG Sabina

rund um die PC-Sicherheit