browser hijacking; alrs.exe; deskbar.exe; etc. ...

Thema ist geschlossen!
Thema ist geschlossen!
#0
18.10.2006, 04:13
...neu hier

Beiträge: 7
#1 Liebe Forumsgemeinde!

Seit etwa 2 Tagen habe ich das Problem, dass ich trotz virenscanner einige Einträge in den Verzeichnissen habe, die ich keinesfalls rausbekomme. Ad-aware, Norton, F-Secure, Spybot, und andere kleinere auf die Spyware (?) abgestimmte Programme brachten nichts, so suche ich hier nun Zuflucht, da ich mein System eigentlich nicht schon wieder neu aufsetzen möchte ;)
Kurz und knackig:
Spybot findet folgendes (was er jedoch nicht löschen kann, bzw. sich scheinbar sofort wieder einnistet):

Virtumonde: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

AstaKiller: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Command Service: Autorun-Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\newname

E.C.S. International.Downloader: Ausführbare Datei (Datei, nothing done)
c:\deskbar.exe

Microsoft.Windows.ActiveDesktop: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-343818398-1547161642-682003330-1000\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper!=W=1

Microsoft.Windows.Security.InternetExplorer: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe!=W=1

Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Microsoft.WindowsSecurityCenter.FirewallDisabled: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile\enablefirewall!=dword:1

Microsoft.WindowsSecurityCenter.FirewallDisabled: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile\enablefirewall!=dword:1

Microsoft.WindowsSecurityCenter.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0

Microsoft.WindowsSecurityCenter.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0

Microsoft.WindowsSecurityCenter.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter_disabled: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2

Smitfraud-C.: Ausführbare Datei (Datei, nothing done)
c:\Installer4.exe

Smitfraud-C.: Autorun-Einstellungen (defender) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defender

Smitfraud-C.: Autorun-Einstellungen (keyboard) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\keyboard

Smitfraud-C.Toolbar888: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}



Hier auch das Hijackthis-logfile:
Logfile of HijackThis v1.99.1
Scan saved at 03:43:28, on 18.10.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
D:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
D:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
D:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\F-Secure Internet Security\Common\FCH32.EXE
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
D:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\alrs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\VTTimer.exe
D:\PROGRA~1\MT\MT.EXE
C:\WINNT\System32\mqsvc.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
D:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
D:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
D:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
D:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\WINNT\System32\PPActiveDetection.exe"
O4 - HKLM\..\Run: [Meine Traffic] D:\PROGRA~1\MT\MT.EXE
O4 - HKLM\..\Run: [CaAvTray] "D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure Manager] "D:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "D:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AWMON] "D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O4 - Global Startup: F-Secure Anti-Virus 2006.lnk = D:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Dieses Popup &blockieren - D:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155508758484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155509081484
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: F-Secure Anti-Virus 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - D:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - D:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINNT\alrs.exe

Anbei noch die Combofix... datfind folgt...

Anhang: ComboFix.txt
Seitenanfang Seitenende
18.10.2006, 07:12
Member
Avatar Yourhighness

Beiträge: 279
#2 Hi,

Zitat

O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
Das ist die neue Version von SSK. Ein Tutorial zur Entfernung findest Du hier: http://www.bleepingcomputer.com/forums/topic66364.html

Auf dem PC ist einiges mehr drauf. Muss jetzt leider zur Arbeit. Lies dir das schon mal durch, nutze es oder warte bis Biene sich nachher um dich kuemmert ;)

MfG,

Johannes
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
18.10.2006, 17:45
...neu hier

Themenstarter

Beiträge: 7
#3 Vielen Dank für die Hilfe ;) Das „Programm“ hatte ich zwar schon deinstalliert, doch half mir die regfix dann tatsächlich weiter. Adware findet keine Einträge mehr.

Unter Spybot finden sich nun „nur“ noch folgende Einträge (Windows?):

Microsoft.WindowsSecurityCenter_disabled: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2

Microsoft.Windows.ActiveDesktop: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-343818398-1547161642-682003330-1000\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper!=W=1

Microsoft.Windows.Security.InternetExplorer: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe!=W=1

Das Hijackthis-logfile kann ich leider nicht posten, da er keines erstellen lässt, doch fiel mir ein Eintrag auf, den ich nicht fixen kann (Fehlermeldung) und der am PC nicht aufzufinden ist ;)

O20 – AppInit_DLLs: dxclb303562752.dll

Leider musste ich nach einem Neustart erkennen, dass systemstartänderungen vollzogen werden wollten (z.Bsp. nwnmff_e31.exe). Könnte das mit der dxclb….dll zusammenhängen?

Danke nochmals für die Mühe
GLG

Anhang: ComboFix.txt
Seitenanfang Seitenende
18.10.2006, 17:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 putzchen

deluxecommunications - information
http://virus-protect.org/artikel/spyware/deluxecommunications_delete.html

_____________________________________________________________

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2006, 17:53
...neu hier

Themenstarter

Beiträge: 7
#5 Anbei die datfind...

Verzeichnis von C:\WINNT\system32

18.10.2006 17:49 395.181 hjkmp.ini
18.10.2006 02:11 364.212 hjkmp.bak2
17.10.2006 01:57 684.084 pmkjh.dll

Verzeichnis von C:\WINNT

18.10.2006 11:54 1.489 713xTV.ini
11.10.2006 12:08 95.232 alrs.exe

Anhang: system32.txt
Seitenanfang Seitenende
18.10.2006, 18:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 nun poste noch das log von combofix ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2006, 18:33
...neu hier

Themenstarter

Beiträge: 7
#7 das neueste log von combofix ;)

Mary1 - Mi 18.10.2006 18:28:59,09 Service Pack 4
ComboFix 06.10.16 - Running from: "C:\Dokumente und Einstellungen\Mary1\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-18 to 2006-10-18 ))))))))))))))))))))))))))))))))))


2006-10-18 18:07 16,384 --a------ C:\WINNT\system32\restart.exe
2006-10-18 18:07 11,254 --a------ C:\WINNT\system32\locate.com
2006-10-18 17:57 82,188 --a------ C:\WINNT\system32\zip.exe
2006-10-18 14:15 40,960 --a------ C:\WINNT\system32\swsc.exe
2006-10-18 14:15 288,417 --a------ C:\WINNT\system32\SrchSTS.exe
2006-10-18 14:15 135,168 --a------ C:\WINNT\system32\swreg.exe
2006-10-18 02:11 364,212 ---hs---- C:\WINNT\system32\hjkmp.bak2
2006-10-17 20:09 4,608 --a------ C:\WINNT\system32\drivers\symlcbrd.sys
2006-10-17 02:19 91,904 --a------ C:\WINNT\system32\S32EVNT1.DLL
2006-10-17 02:19 124,016 --a------ C:\WINNT\system32\drivers\SYMEVENT.SYS
2006-10-17 01:57 684,084 --------- C:\WINNT\system32\pmkjh.dll
2006-10-16 14:09 95,232 -r-hs---- C:\WINNT\alrs.exe
2006-10-06 00:09 73,728 --a------ C:\WINNT\system32\DBnetlib.dll
2006-10-06 00:09 73,728 --a------ C:\WINNT\system32\cliconfg.dll
2006-10-06 00:09 61,440 --a------ C:\WINNT\system32\odbccu32.dll
2006-10-06 00:09 61,440 --a------ C:\WINNT\system32\odbccr32.dll
2006-10-06 00:09 51,200 --a------ C:\WINNT\system32\msxml3r.dll
2006-10-06 00:09 401,408 --a------ C:\WINNT\system32\SQLSRV32.dll
2006-10-06 00:09 4,656 --a------ C:\WINNT\system32\ds16gt.dll
2006-10-06 00:09 36,864 --a------ C:\WINNT\system32\mscpxl32.dll
2006-10-06 00:09 32,768 --a------ C:\WINNT\system32\odbcad32.exe
2006-10-06 00:09 28,672 --a------ C:\WINNT\system32\DBnmpntw.dll
2006-10-06 00:09 28,672 --a------ C:\WINNT\system32\dbmsgnet.dll
2006-10-06 00:09 26,224 --a------ C:\WINNT\system32\odbc16gt.dll
2006-10-06 00:09 24,576 --a------ C:\WINNT\system32\odbcbcp.dll
2006-10-06 00:09 24,576 --a------ C:\WINNT\system32\msorc32r.dll
2006-10-06 00:09 24,576 --a------ C:\WINNT\system32\dbmsvinn.dll
2006-10-06 00:09 24,576 --a------ C:\WINNT\system32\dbmsrpcn.dll
2006-10-06 00:09 24,576 --a------ C:\WINNT\system32\dbmsadsn.dll
2006-10-06 00:09 221,184 --a------ C:\WINNT\system32\ODBC32.dll
2006-10-06 00:09 20,480 --a------ C:\WINNT\system32\cliconfg.exe
2006-10-06 00:09 180,800 --a------ C:\WINNT\system32\sqlunirl.dll
2006-10-06 00:09 16,384 --a------ C:\WINNT\system32\odbc32gt.dll
2006-10-06 00:09 16,384 --a------ C:\WINNT\system32\ds32gt.dll
2006-10-06 00:09 147,456 --a------ C:\WINNT\system32\odbctrac.dll
2006-10-06 00:09 147,456 --a------ C:\WINNT\system32\msdart.dll
2006-10-06 00:09 139,264 --a------ C:\WINNT\system32\msorcl32.dll
2006-10-06 00:09 102,400 --a------ C:\WINNT\system32\odbcint.dll
2006-10-06 00:09 102,400 --a------ C:\WINNT\system32\odbccp32.dll
2006-10-04 15:02 2,516 --ahs---- C:\WINNT\system32\KGyGaAvL.sys
2006-09-27 14:48 15,488 --a------ C:\WINNT\system32\drivers\tbhsd.sys
2006-09-27 14:48 148,208 --a------ C:\WINNT\system32\drivers\portcls.sys
2006-09-27 14:47 98,304 --a------ C:\WINNT\system32\wmpshell.dll
2006-09-27 14:47 8,704 --a------ C:\WINNT\system32\asferror.dll
2006-09-27 14:47 57,344 --a------ C:\WINNT\uneng.exe
2006-09-27 14:47 52,736 --a------ C:\WINNT\system32\mspmsnsv.dll
2006-09-27 14:47 49,152 --a------ C:\WINNT\system32\cdrtc.dll
2006-09-27 14:47 45,056 --a------ C:\WINNT\system32\cdral.dll
2006-09-27 14:47 365,704 --a------ C:\WINNT\system32\msscp.dll
2006-09-27 14:47 27,136 --a------ C:\WINNT\system32\wmdmlog.dll
2006-09-27 14:47 246,272 --a------ C:\WINNT\system32\mswmdm.dll
2006-09-27 14:47 23,552 --a------ C:\WINNT\system32\wmdmps.dll
2006-09-27 14:47 225,280 --a------ C:\WINNT\system32\wmpdxm.dll
2006-09-27 14:47 208,896 --a------ C:\WINNT\system32\wmpns.dll
2006-09-27 14:47 202,240 --a------ C:\WINNT\system32\wmerror.dll
2006-09-27 14:47 201,728 --a------ C:\WINNT\system32\mspmsp.dll
2006-09-27 14:47 20,480 --a------ C:\WINNT\system32\wmpui.dll
2006-09-27 14:47 20,480 --a------ C:\WINNT\system32\wmpcore.dll
2006-09-27 14:47 20,480 --a------ C:\WINNT\system32\wmpcd.dll
2006-09-27 14:47 2,973,696 --a------ C:\WINNT\system32\wmploc.dll
2006-09-27 14:47 159,232 --a------ C:\WINNT\system32\CEWMDM.dll
2006-09-27 14:47 106,496 --a------ C:\WINNT\system32\wmpasf.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-17 20:39 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-17 20:34 -------- d-------- C:\Programme\Symantec
2006-10-17 20:16 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Symantec
2006-10-17 20:00 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-10-17 02:33 -------- d-------- C:\Programme\SymNetDrv
2006-10-16 23:10 -------- d-a------ C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-16 23:10 -------- d-------- C:\Programme\Outlook Express
2006-10-16 23:10 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-16 23:10 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-10-16 17:37 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Lavasoft
2006-10-06 22:52 -------- d-------- C:\Programme\Internet Explorer
2006-10-06 00:09 -------- d--h----- C:\Programme\Uninstall Information
2006-10-04 16:40 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-04 15:02 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-28 18:54 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\tunebite
2006-09-27 14:47 -------- d-------- C:\Programme\Windows Media Player
2006-09-27 14:47 -------- d-------- C:\Programme\Gemeinsame Dateien\Adaptec Shared
2006-09-21 19:58 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Learn2.com
2006-09-13 14:05 -------- d-------- C:\Programme\DivX
2006-09-13 08:31 1715776 --a------ C:\WINNT\system32\NTKRNLPA.EXE
2006-09-13 08:31 1693120 --a------ C:\WINNT\system32\NTOSKRNL.EXE
2006-09-12 20:07 12888 --a------ C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-11 20:16 -------- d-------- C:\Programme\Zylom Games
2006-09-07 18:52 -------- d---s---- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Microsoft
2006-09-06 06:58 1110528 --a------ C:\WINNT\system32\msxml3.dll
2006-08-29 21:00 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Sun
2006-08-29 20:59 -------- d-------- C:\Programme\Java
2006-08-29 20:58 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-08-28 10:44 530192 --a------ C:\WINNT\system32\comctl32.dll
2006-08-27 23:17 -------- d-------- C:\Programme\Messenger
2006-08-22 12:48 136912 --------- C:\WINNT\system32\drivers\fltmgr.sys
2006-08-21 21:57 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Macromedia
2006-08-20 11:49 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Image Zone Express
2006-08-20 09:45 -------- d-------- C:\Programme\CyberLink
2006-08-20 09:24 -------- d-------- C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\AdobeUM
2006-08-14 15:34 401462 --a------ C:\WINNT\system32\MSVCP60.DLL
2006-08-14 15:34 118842 -r------- C:\WINNT\bwUnin-6.3.2.116-4476822L.exe
2006-08-14 00:14 0 -rahs---- C:\MSDOS.SYS
2006-08-14 00:14 0 -rahs---- C:\IO.SYS
2006-08-14 00:14 0 ---h----- C:\CONFIG.SYS
2006-08-14 00:14 0 ---h----- C:\AUTOEXEC.BAT
2006-08-14 00:13 271 ---h----- C:\Programme\desktop.ini
2006-08-14 00:13 22080 ---h----- C:\Programme\folder.htt
2006-08-11 19:35 520192 --a------ C:\WINNT\system32\DivXsm.exe
2006-08-11 19:35 3596288 --a------ C:\WINNT\system32\qt-dx331.dll
2006-08-11 19:35 200704 --a------ C:\WINNT\system32\ssldivx.dll
2006-08-11 19:35 1044480 --a------ C:\WINNT\system32\libdivx.dll
2006-08-11 19:31 778240 --a------ C:\WINNT\system32\divx_xx0c.dll
2006-08-11 19:31 778240 --a------ C:\WINNT\system32\divx_xx07.dll
2006-08-11 19:31 761856 --a------ C:\WINNT\system32\divx_xx11.dll
2006-08-11 19:31 73728 --a------ C:\WINNT\system32\dpl100.dll
2006-08-11 19:31 620180 --a------ C:\WINNT\system32\DivX.dll
2006-08-11 19:31 593920 --a------ C:\WINNT\system32\dpuGUI11.dll
2006-08-11 19:31 57344 --a------ C:\WINNT\system32\dpv11.dll
2006-08-11 19:31 53248 --a------ C:\WINNT\system32\dpuGUI10.dll
2006-08-11 19:31 344064 --a------ C:\WINNT\system32\dpus11.dll
2006-08-11 19:31 294912 --a------ C:\WINNT\system32\dpu11.dll
2006-08-11 19:31 294912 --a------ C:\WINNT\system32\dpu10.dll
2006-08-11 19:31 196608 --a------ C:\WINNT\system32\dtu100.dll
2006-08-11 19:31 12288 --a------ C:\WINNT\system32\DivXWMPExtType.dll
2006-08-11 19:31 118784 --a------ C:\WINNT\system32\DivXCodecUpdateChecker.exe
2006-07-27 04:05 109568 --------- C:\WINNT\system32\pxinsi64.exe
2006-07-27 04:05 108544 --------- C:\WINNT\system32\pxcpyi64.exe
2006-07-24 18:18 847632 --a------ C:\WINNT\system32\mmcndmgr.dll
2006-07-24 18:14 617232 --a------ C:\WINNT\system32\mmc.exe
2006-07-21 17:08 72704 --a------ C:\WINNT\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"VTTimer"="VTTimer.exe"
"eTrustPPAP"="\"C:\\WINNT\\System32\\PPActiveDetection.exe\""
"Meine Traffic"="D:\\PROGRA~1\\MT\\MT.EXE"
"CaAvTray"="\"D:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVTray.exe\""
"CAVRID"="\"D:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVRID.exe\""
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"HPDJ Taskbar Utility"="C:\\WINNT\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"F-Secure Manager"="\"D:\\Programme\\F-Secure Internet Security\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"D:\\Programme\\F-Secure Internet Security\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"F-Secure Startup Wizard"="\"D:\\Programme\\F-Secure Internet Security\\FSGUI\\FSSW.EXE\" /reboot"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"CloneCDTray"="\"D:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"AWMON"="\"D:\\Programme\\Lavasoft\\Ad-Aware SE Professional\\Ad-Watch.exe\""
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjh

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20061018-131235-100
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
backup-20061018-131235-763
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
backup-20061018-131235-157
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
backup-20061018-131225-216
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061018-131225-160
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061018-131225-678
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
backup-20061018-131225-604
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
backup-20061018-131225-275
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
backup-20061018-131132-875
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061018-131132-676
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061017-233205-854
O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINNT\alrs.exe
backup-20061017-233018-884
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
backup-20061017-233018-279
O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINNT\alrs.exe
backup-20061017-232959-728
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
backup-20061017-015829-430
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\dxound3d.dll
backup-20061017-015829-679
O20 - Winlogon Notify: pmnomnk - C:\WINNT\SYSTEM32\pmnomnk.dll
backup-20061017-015828-985
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061017-015828-962
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
backup-20061017-015828-764
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
backup-20061017-015828-822
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
backup-20061017-015828-397
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061017-013514-691
O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINNT\alrs.exe
backup-20061017-013514-809
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061017-013514-834
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
backup-20061017-013514-969
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
backup-20061017-013514-499
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
backup-20061017-013514-518
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061017-013514-246
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
backup-20061017-013403-551
O20 - Winlogon Notify: WindowsUpdate - C:\WINNT\system32\onbcji32.dll (file missing)
backup-20061017-013403-559
O20 - Winlogon Notify: Setup - C:\WINNT\system32\disshlex.dll (file missing)
backup-20061017-013403-988
O20 - Winlogon Notify: ExtShellViews - C:\WINNT\system32\mnvcp71.dll (file missing)
backup-20061017-013403-857
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
backup-20061017-013403-526
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061017-013403-383
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
backup-20061017-013403-349
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
backup-20061017-013403-297
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
backup-20061017-013403-816
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
backup-20061017-013403-981
O2 - BHO: (no name) - {B08AFDAA-3C41-4AA8-94FC-172AED0AE3BB} - C:\WINNT\system32\pmnli.dll (file missing)
backup-20061017-013403-567
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\ljjghhi.dll (file missing)
backup-20061017-013403-376
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
backup-20061016-210702-643
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
backup-20061016-210702-841
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
backup-20061016-210702-613
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
backup-20060814-140201-998
O14 - IERESET.INF: SEARCH_PAGE_URL=
backup-20060814-140201-393
O14 - IERESET.INF: START_PAGE_URL=
backup-20060814-140150-604
O14 - IERESET.INF: SEARCH_PAGE_URL=
backup-20060814-140150-521
O14 - IERESET.INF: START_PAGE_URL=

Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\Norton AntiVirus - Scan my computer - Mary1.job
C:\WINNT\tasks\Scheduled scanning task.job
C:\WINNT\tasks\Symantec NetDetect.job

Completion time: Wed 2006-10-18 18:29:44.34
C:\ComboFix.txt ... 06-10-18 18:29

Anhang: ComboFix.txt
Seitenanfang Seitenende
18.10.2006, 18:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry Keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjh

files to delete:
C:\WINNT\system32\hjkmp.ini
C:\WINNT\system32\hjkmp.bak2
C:\WINNT\system32\pmkjh.dll
C:\WINNT\alrs.exe

folders to delete:
C:\Programme\Deskbar
C:\Programme\DeluxeCommunications

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINNT\System32\Com" >>files.txt
dir "C:\WINNT\system32\config" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2006, 19:21
...neu hier

Themenstarter

Beiträge: 7
#9 beim neustart zeigte das Programm an, dass einiges nicht gefunden wurde...

das file:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7CD6-22EC

Verzeichnis von C:\WINNT\System32\Com

18.10.2006 17:10 <DIR> .
18.10.2006 17:10 <DIR> ..
05.09.2005 10:18 197.904 comadmin.dll
19.06.2003 21:05 61.440 comempty.dat
10.12.1999 14:00 29.184 comexp.msc
10.12.1999 14:00 10.512 comrepl.exe
10.12.1999 14:00 5.392 comrereg.exe
10.12.1999 14:00 19.968 mtsadmin.tlb
6 Datei(en) 324.400 Bytes
2 Verzeichnis(se), 7.081.828.352 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7CD6-22EC

Verzeichnis von C:\WINNT\system32\config

14.08.2006 17:27 <DIR> .
14.08.2006 17:27 <DIR> ..
18.10.2006 19:11 393.216 AppEvent.Evt
18.10.2006 19:14 364.544 default
14.08.2006 02:03 81.920 default.sav
18.10.2006 19:13 28.672 SAM
18.10.2006 19:11 524.288 SecEvent.Evt
18.10.2006 19:14 36.864 SECURITY
18.10.2006 19:19 20.852.736 software
14.08.2006 02:03 540.672 software.sav
18.10.2006 19:11 262.144 SysEvent.Evt
18.10.2006 19:14 3.530.752 system
18.10.2006 19:14 3.530.752 SYSTEM.ALT
14.08.2006 02:03 376.832 system.sav
14.08.2006 02:03 139.264 userdiff
13 Datei(en) 30.662.656 Bytes
2 Verzeichnis(se), 7.081.824.256 Bytes frei
Seitenanfang Seitenende
18.10.2006, 19:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2006, 20:18
...neu hier

Themenstarter

Beiträge: 7
#11 Hier der Report:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 20:10:57 18.10.2006

+ Scan-Ergebnis:



HKU\.DEFAULT\Software\DeluxeCommunications -> Adware.DeluxeCommunications : Gesäubert.
HKU\.DEFAULT\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : Gesäubert.
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\UCmore - The Search Accelerator -> Adware.Ucmore : Gesäubert.
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\UCmore - The Search Accelerator\How To Uninstall.lnk -> Adware.Ucmore : Gesäubert.
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\UCmore - The Search Accelerator\UCmore - The Search Accelerator.lnk -> Adware.Ucmore : Gesäubert.
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\UCmore - The Search Accelerator\UCmore Tour.lnk -> Adware.Ucmore : Gesäubert.
:mozilla.83:C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Mozilla\Firefox\Profiles\scqsvtpm.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert.
:mozilla.84:C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Mozilla\Firefox\Profiles\scqsvtpm.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert.
:mozilla.85:C:\Dokumente und Einstellungen\Mary1\Anwendungsdaten\Mozilla\Firefox\Profiles\scqsvtpm.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert.
:mozilla.108:

edit

::Berichtende


Ich denke, so schön langsam ist er sauber, nicht?
Seitenanfang Seitenende
18.10.2006, 23:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 es muesste wieder alles o.k. sein ;)
wie/wo hast du dir das eingefangen ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2006, 22:27
...neu hier

Themenstarter

Beiträge: 7
#13 Hallo!

Also das Neueste ;) folgende Einträge haben sich trotzdem nochmal reinverpflanzt:
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe

Hab dann im abgesicherten modus 2 Programme gegen smitfraud angewendet und dann noch einen schlüssel in der registry (hab nach dxc gesucht) manuell gelöscht. Sämtliche Programme finden jetzt nichts mehr *gg* Und ich hoffe, das bleibt jetzt so - andernfalls beehre ich dieses Forum sicher wieder, denn die Hilfe, die ich hier bekommen habe, war echt super-hilfreich ;)

Woher ich das habe, keine ahnung. Ich hab zwar vor kurzer Zeit den Msn Messenger aktualisiert, aber glaube eigentlich nicht, dass ich es mir dort geholt habe. Zumindest das alrs.exe dürfte schon einige Zeit drauf sein und daher - keine Ahnung.
Die Popups kamen dann ja erst ein paar Tage später, da war die verbindung zum internet zwar da, aber ich grad mit abwaschen beschäftigt ;) Hab schön dicke geschaut, als der virenscanner sich aufeinmal meldete, wobei da eh schon alles drauf war ;) Werd jetzt auch wieder auf Norton umsteigen (ja schlagt mich ;) ) und ad-watch sowie avg (danke auch für den Tipp) verwenden.

Also danke nochmal, wirklich toll, dass du mir helfen konntest, war echt am verzweifeln (umso mehr freu ich mich jetzt ;) )!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: