Packed.Dialer,Dialer.Trojan(Idd44.tmp.exe;Idd49.tmp.exe;Idd59.tmp.exe)

#16 die online-scans klappen nicht bei mir, die verlangen ne aneue version vom IE, aber die hab ich schon--->panda,ewido und anti-spyware

#17 Also ich habe das hier leider nur ganz wenig verstanden. Ich bin kein großer Experte. Es wäre supernett, wenn es mir irgendjemand mal etwas einfacher erläutern würde, da ich dasselbe Problem mit Norton Internet Security 2006 habe. Die Meldung das ich einen sogenannten "Dialer.Trojan" habe und Norton ihn gelöscht hat kommt immer, ABER: nach gut einer 1/2 Stunde kommt sie wieder.

Ich bitte darum, dass es mir irgendjemand mal etwas leichter erklärt. Ich wäre sehr dankbar.

#18 erstell mit hilfe von hijackthis einen scanfile. und dann poste es hier rein....

#19 Hier ist es:


Logfile of HijackThis v1.99.1
Scan saved at 21:44:53, on 31.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
c:\progra~1\pinnacle\mediac~1\pmctvt~1.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\TEMP\winDD.tmp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\DOKUME~1\Johann\LOKALE~1\Temp\Rar$EX00.032\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scm-gladiators.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 Professional\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 Professional\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT75\PRMTIE\prmtie.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [PMCS] "C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT75\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT75\PRMTIE\options.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158263730500
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winjvd32 - C:\WINDOWS\SYSTEM32\winjvd32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\pmctvt~1.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#20 Hallo Luis Figo (den wahren, portugiesischen kenne ich sogar )

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo

Ich poste mal hier drunter weil dieser Thread am ehesten mein Problem beschreibt
(sprich Norton meldet Dialer.Trojan) und es werden diese IDDxxx.tmp.exe Dateien erstellt diese versuchen dann immer wieder Verbindung herzustellen und es kommt ein italienischer text.
kommt aber immer wieder
(Norton,Spybot, Ad Aware haben bisher nicht geholfen)
Desweiteren poppt hin und wieder eine Seite auf um Werbung für Win Antivirus Pro zu machen.
Auch versucht sich diese seite zu öffnen (ist aber leer)
http://85.12.25.85/trafc-2/rfe.php?cmp=vm_mg_ff_nonusa_fail&nid=sh&uid=6238C484
678711DBB39B00167647FA98&guid=7cd076ae+76A8BBD79CB34FF384AA33C1A59
CB708&lid=download%3E&url=-+http%3A%2F%2Fwww2.incredimail.
com%2Fcontents%2Fsetup%2Fdownloader%2Fimloader.cab&affid=66973

Hier mal die Logs laut anweisung


Logfile of HijackThis v1.99.1
Scan saved at 13:55:45, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\IncrediMail\bin\IncMail.exe
C:\WINDOWS\TEMP\win20F.tmp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Wimmer Michael\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.flugsimulator.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130259947818
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

combofix

((((((((((((((((((((((((((((((( Files Created from 2006-10-01 to 2006-11-01 ))))))))))))))))))))))))))))))))))


2006-11-01 08:49 60,436 --a------ C:\WINDOWS\system32\npyeuduy.dll
2006-10-30 21:01 492,991 ---hs---- C:\WINDOWS\system32\ayyxx.bak2
2006-10-30 21:01 110,612 --a------ C:\WINDOWS\system32\jqqmhswm.exe
2006-10-29 21:20 504,061 ---hs---- C:\WINDOWS\system32\ayyxx.ini2
2006-10-29 21:00 688,180 ---hs---- C:\WINDOWS\system32\xxyya.dll
2006-10-29 21:00 492,028 ---hs---- C:\WINDOWS\system32\ayyxx.bak1
2006-10-29 20:42 40,973 ---hs---- C:\WINDOWS\system32\byxuvuv.dll
2006-10-29 20:42 18,432 --a------ C:\WINDOWS\system32\winqzq32.dll
2006-10-25 14:16 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-10-17 12:33 6,049,280 --------- C:\WINDOWS\system32\ieframe.dll
2006-10-17 12:33 50,688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-10-17 12:33 458,752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-10-17 12:33 180,736 --------- C:\WINDOWS\system32\ieui.dll
2006-10-17 12:05 206,336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:01 13,312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-10-17 11:58 61,952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12,288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 266,752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:27 380,928 --------- C:\WINDOWS\system32\ieapfltr.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-01 13:49 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-01 10:41 -------- d-------- C:\Dokumente und Einstellungen\Wimmer Michael\Anwendungsdaten\Lavasoft
2006-11-01 10:40 -------- d-------- C:\Programme\Lavasoft
2006-11-01 08:57 -------- d-------- C:\Programme\VSAdd-in
2006-11-01 08:54 -------- d-------- C:\Programme\Norton Internet Security
2006-10-30 22:56 -------- d-------- C:\Dokumente und Einstellungen\Wimmer Michael\Anwendungsdaten\SearchToolbarCorp
2006-10-30 18:40 -------- d-------- C:\Programme\CleanUp!
2006-10-30 17:54 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-10-30 17:54 -------- d-------- C:\Programme\Topo USA 5.0
2006-10-30 17:54 -------- d-------- C:\Dokumente und Einstellungen\Wimmer Michael\Anwendungsdaten\teamspeak2
2006-10-30 17:54 -------- d-------- C:\Dokumente und Einstellungen\Wimmer Michael\Anwendungsdaten\Skype
2006-10-29 16:24 -------- d-------- C:\Programme\Paint Shop Pro 5
2006-10-25 14:29 -------- d-------- C:\Programme\Internet Explorer
2006-10-23 16:11 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-17 12:33 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-10-17 12:33 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-10-17 12:33 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll
2006-10-17 12:03 17408 --a------ C:\WINDOWS\system32\corpol.dll
2006-10-17 12:01 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-10-17 12:01 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-10-17 12:01 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-10-17 12:01 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-10-17 12:01 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-10-17 12:00 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-10-17 12:00 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-10-17 12:00 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:23 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-10-14 18:34 -------- d-------- C:\Programme\PartyGaming
2006-10-14 18:22 -------- d-------- C:\Programme\ParadisePoker
2006-10-02 18:58 24072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-30 10:20 -------- d-------- C:\Programme\Symantec
2006-09-15 21:04 48816 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:04 109744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-06 16:43 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-09-01 12:36 -------- d-------- C:\Programme\GanymedeNet
2006-08-25 16:46 617472 --ahs---- C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-07 15:02 534208 --a------ C:\WINDOWS\system32\SymNeti.dll
2006-08-07 15:02 161472 --a------ C:\WINDOWS\system32\SymRedir.dll
2006-08-05 10:54 4608 --a------ C:\WINDOWS\system32\w95inf32.dll
2006-08-05 10:54 2272 --a------ C:\WINDOWS\system32\w95inf16.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"IncrediMail"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\not active]
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:0000005f

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\RestrictRun]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"

Datfind

Verzeichnis von C:\WINDOWS\system32

06-11-01 14:04 504,153 ayyxx.ini2
06-11-01 12:27 492,991 ayyxx.bak2
06-11-01 12:27 1,158 wpa.dbl
06-11-01 08:49 60,436 npyeuduy.dll
06-10-30 21:01 110,612 jqqmhswm.exe
06-10-30 19:50 2,550 Uninstall.ico
06-10-30 19:50 1,406 Help.ico
06-10-30 19:50 30,590 pavas.ico
06-10-29 21:51 494,360 ayyxx.ini
06-10-29 21:20 492,153 ayyxx.tmp
06-10-29 21:00 492,028 ayyxx.bak1
06-10-29 21:00 688,180 xxyya.dll
06-10-29 20:42 40,973 byxuvuv.dll
06-10-29 20:42 18,432 winqzq32.dll
06-10-29 13:41 380,548 perfh009.dat
06-10-29 13:41 391,244 perfh007.dat
06-10-29 13:41 52,962 perfc009.dat
06-10-29 13:41 63,778 perfc007.dat
06-10-29 13:41 897,778 PerfStringBackup.INI
06-10-17 12:33 6,049,280 ieframe.dll


Falls was fehlt bitte sagen

#22 Mxw1968

es fehlen die restlichen 5 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#23 sorry mein fehler hier noch mal alles von Datfind


Verzeichnis von C:\WINDOWS\system32

06-11-01 14:25 493,352 ayyxx.ini2
06-11-01 14:18 492,938 ayyxx.bak2
06-11-01 14:18 1,158 wpa.dbl
06-11-01 08:49 60,436 npyeuduy.dll
06-10-30 21:01 110,612 jqqmhswm.exe
06-10-30 19:50 2,550 Uninstall.ico
06-10-30 19:50 1,406 Help.ico
06-10-30 19:50 30,590 pavas.ico
06-10-29 21:51 494,360 ayyxx.ini
06-10-29 21:20 492,153 ayyxx.tmp
06-10-29 21:00 492,028 ayyxx.bak1
06-10-29 21:00 688,180 xxyya.dll
06-10-29 20:42 40,973 byxuvuv.dll
06-10-29 20:42 18,432 winqzq32.dll
06-10-29 13:41 380,548 perfh009.dat
06-10-29 13:41 391,244 perfh007.dat
06-10-29 13:41 52,962 perfc009.dat
06-10-29 13:41 63,778 perfc007.dat
06-10-29 13:41 897,778 PerfStringBackup.INI
06-10-17 12:33 6,049,280 ieframe.dll
06-10-17 12:33 3,577,856 mshtml.dll
06-10-17 12:33 1,162,240 urlmon.dll
06-10-17 12:33 670,720 mstime.dll
06-10-17 12:33 818,688 wininet.dll
06-10-17 12:33 413,696 vbscript.dll
06-10-17 12:33 131,584 extmgr.dll
06-10-17 12:33 27,136 jsproxy.dll
06-10-17 12:33 50,688 msfeedsbs.dll
06-10-17 12:33 458,752 msfeeds.dll
06-10-17 12:33 191,488 iepeers.dll
06-10-17 12:33 180,736 ieui.dll
06-10-17 12:33 156,160 msls31.dll
06-10-17 12:33 231,424 webcheck.dll
06-10-17 12:33 475,648 mshtmled.dll
06-10-17 12:06 443,904 html.iec
06-10-17 12:06 78,336 ieencode.dll
06-10-17 12:05 206,336 WinFXDocObj.exe
06-10-17 12:05 1,817,088 inetcpl.cpl
06-10-17 12:05 105,984 url.dll
06-10-17 12:05 192,000 msrating.dll
06-10-17 12:05 40,960 licmgr10.dll
06-10-17 12:04 101,376 occache.dll
06-10-17 12:03 17,408 corpol.dll
06-10-17 12:02 991,232 ieframe.dll.mui
06-10-17 12:01 229,376 ieaksie.dll
06-10-17 12:01 382,976 iedkcs32.dll
06-10-17 12:01 152,064 ieakeng.dll
06-10-17 12:01 71,680 admparse.dll
06-10-17 12:01 55,296 iesetup.dll
06-10-17 12:01 13,312 ieudinit.exe
06-10-17 12:00 43,008 iernonce.dll
06-10-17 12:00 54,784 ie4uinit.exe
06-10-17 12:00 92,672 inseng.dll
06-10-17 12:00 123,904 advpack.dll
06-10-17 12:00 10,240 advpack.dll.mui
06-10-17 12:00 491,520 jscript.dll
06-10-17 11:58 12,288 msfeedssync.exe
06-10-17 11:58 61,952 icardie.dll
06-10-17 11:58 44,544 pngfilt.dll
06-10-17 11:58 346,624 dxtmsft.dll
06-10-17 11:57 36,352 imgutil.dll
06-10-17 11:57 214,528 dxtrans.dll
06-10-17 11:57 266,752 iertutil.dll
06-10-17 11:56 45,568 mshta.exe
06-10-17 11:55 66,560 tdc.ocx
06-10-17 11:30 56,483 ieuinit.inf
06-10-17 11:28 48,128 mshtmler.dll
06-10-17 11:27 380,928 ieapfltr.dll
06-10-17 11:23 161,792 ieakui.dll
06-10-17 11:19 1,383,424 mshtml.tlb
06-10-09 22:12 235,520 xpsp3res.dll
06-10-04 21:03 9,639,336 MRT.exe
06-10-02 18:58 24,072 uxtuneup.dll
06-09-23 12:12 474,112 shlwapi.dll
06-09-23 12:12 1,022,976 browseui.dll
06-09-23 12:12 1,497,088 shdocvw.dll
06-09-23 12:12 74,715 IE7Eula.rtf
06-09-15 21:04 48,816 S32EVNT1.DLL
06-09-13 06:02 1,084,416 msxml3.dll
06-09-06 16:43 22,752 spupdsvc.exe
06-09-06 16:43 14,048 spmsg.dll
06-09-05 23:01 2,451,824 ieapfltr.dat
06-09-01 12:32 4 proc625010911.bin
06-09-01 07:44 8,798 icrav03.rat
06-09-01 07:44 1,988 ticrf.rat
06-08-25 16:46 617,472 comctl32.dll
06-08-21 13:26 16,896 fltlib.dll
06-08-21 10:14 23,040 fltmc.exe
06-08-16 12:58 100,352 6to4svc.dll
06-08-07 15:02 534,208 SymNeti.dll
06-08-07 15:02 161,472 SymRedir.dll
06-08-05 10:55 16,832 amcompat.tlb
06-08-05 10:55 23,392 nscompat.tlb
06-08-05 10:54 2,272 w95inf16.dll
06-08-05 10:54 4,608 w95inf32.dll
06-08-03 16:34 466,944 capicom.dll
06-08-02 12:39 73,728 asuninst.exe


Verzeichnis von C:\DOKUME~1\WIMMER~1\LOKALE~1\Temp

06-11-01 14:17 279 WCESCOMM.LOG
06-11-01 13:34 917,504 MFPL7014.DLL
06-11-01 11:29 16,384 ~DFBAF7.tmp
06-11-01 11:29 16,384 ~DFACB6.tmp
06-11-01 09:52 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}28541.html
06-11-01 09:37 16,384 ~DF3A3F.tmp
06-11-01 09:37 16,384 ~DF3321.tmp
06-10-29 20:44 187 mstC7.bat
06-10-29 20:44 0 winD8.tmp
06-10-29 20:44 0 winD7.tmp
06-10-29 20:44 0 winD5.tmp
06-10-29 20:44 0 winD6.tmp
06-10-29 20:44 0 winD4.tmp
06-10-29 20:44 0 winD3.tmp
06-10-29 20:44 0 winD1.tmp
06-10-29 20:44 0 winD0.tmp
06-10-29 20:44 0 winD2.tmp
06-10-29 20:43 43 removalfile.bat
06-10-29 20:43 187 mstCA.bat
06-10-29 20:42 0 winCE.tmp
06-10-29 20:42 0 winCC.tmp
06-10-29 20:42 0 winCB.tmp
06-10-29 20:42 18,432 mstCA.tmp
06-10-29 20:42 944 winC8.tmp
06-10-29 20:42 18,432 mstC7.tmp
06-10-29 19:25 337 DelUS.bat
06-10-29 16:24 3 Twain001.Mtx
06-10-29 15:52 0 fla5F.tmp
06-10-29 15:51 0 fla5B.tmp
06-10-29 15:50 0 fla57.tmp
06-10-29 15:17 0 fla4C.tmp
06-10-26 19:32 172,031 TWAIN.LOG
04-10-12 11:14 57,344 InstHelp.dll

Verzeichnis von C:\WINDOWS

06-11-01 14:18 159 wiadebug.log
06-11-01 14:18 1,826,021 WindowsUpdate.log
06-11-01 14:18 50 wiaservc.log
06-11-01 14:17 0 0.log
06-11-01 14:17 2,048 bootstat.dat
06-11-01 14:14 32,556 SchedLgU.Txt
06-11-01 14:08 11,170 ModemLog_Smart Link 56K Modem.txt
06-11-01 12:24 570,996 setupapi.log
06-11-01 11:58 265,466 ntbtlog.txt
06-10-30 19:50 32 pavsig.txt
06-10-30 19:47 853 win.ini
06-10-30 19:32 220,155 setupact.log
06-10-29 13:51 1,409 QTFont.for
06-10-29 13:51 54,156 QTFont.qfn
06-10-25 14:30 40,123 spupdsvc.log
06-10-25 14:21 23,954 ie7_main.log
06-10-25 14:20 129,045 iis6.log
06-10-25 14:20 235,886 comsetup.log
06-10-25 14:20 1,393 imsins.log
06-10-25 14:20 142,898 ntdtcsetup.log
06-10-25 14:20 320,861 tsoc.log
06-10-25 14:20 31,741 ocmsn.log
06-10-25 14:20 49,675 ie7.log
06-10-25 14:20 417,236 ocgen.log
06-10-25 14:20 40,911 msgsocm.log
06-10-25 14:20 809,669 FaxSetup.log
06-10-25 14:20 61,883 updspapi.log
06-10-25 14:17 1,393 imsins.BAK
06-10-25 14:17 9,549 IDNMitigationAPIs.log
06-10-25 14:17 9,316 NLSDownlevelMapping.log
06-10-25 14:16 6,556 KB915865.log
06-10-25 14:15 5,359 KB914440.log
06-10-25 14:15 11,244 KB904942.log
06-10-23 15:49 233,198 wmsetup.log
06-10-14 19:20 12,977 KB924191.log
06-10-14 19:20 12,790 KB922819.log
06-10-14 19:20 11,961 KB923414.log
06-10-14 19:20 11,953 KB924496.log
06-10-14 19:19 9,430 KB923191.log
06-09-28 14:12 33,993 LUINSTALL.LOG
06-09-27 16:59 10,760 KB925486.log
06-09-20 13:11 10,254 mozver.dat
06-09-15 16:29 11,521 KB920685.log
06-09-15 16:29 13,206 KB920872.log
06-09-15 16:29 11,719 KB919007.log
06-09-15 16:29 7,857 KB922582.log
06-09-14 18:40 132 ChssBase.ini
06-09-01 12:32 4 datarsyyzuuuqq.log
06-08-18 11:26 9,307 WgaNotify.log
06-08-12 22:35 15,617 KB920214.log
06-08-12 22:35 15,808 KB922616.log
06-08-12 22:35 16,160 KB921398.log
06-08-12 22:34 19,447 KB918899.log
06-08-12 22:34 12,100 KB920670.log
06-08-12 22:34 12,257 KB917422.log
06-08-12 22:34 12,555 KB920683.log
06-08-09 21:34 11,327 KB921883.log

Verzeichnis von C:\WINDOWS\Temp

06-11-01 14:18 409 WGANotify.settings
06-11-01 14:17 255 WGAErrLog.txt
06-11-01 14:08 25,120 idd24D.tmp.exe
06-11-01 14:08 52,224 win24C.tmp.exe
06-11-01 14:06 16,080 win249.tmp.exe
06-11-01 13:46 25,120 idd210.tmp.exe
06-11-01 13:46 52,224 win20F.tmp.exe
06-11-01 13:36 944 winD8.tmp
06-11-01 13:34 0 winD4.tmp
06-11-01 13:34 0 winD3.tmp
06-11-01 13:32 0 winCF.tmp
06-11-01 13:32 0 winD0.tmp
06-11-01 13:30 0 winCE.tmp
06-11-01 13:30 0 winCD.tmp
06-11-01 13:28 0 winCC.tmp
06-11-01 13:28 0 winCB.tmp
06-11-01 13:26 25,120 iddC9.tmp.exe
06-11-01 13:26 0 winC8.tmp
06-11-01 13:26 0 winC7.tmp
06-11-01 13:24 0 winC5.tmp
06-11-01 13:24 0 winC4.tmp
06-11-01 13:24 0 winC6.tmp
06-11-01 13:22 0 winBE.tmp
06-11-01 13:22 0 winBD.tmp
06-11-01 13:22 0 winBC.tmp
06-11-01 13:20 0 winB9.tmp
06-11-01 13:20 0 winB8.tmp
06-11-01 13:20 0 winBA.tmp
06-11-01 13:18 0 win71.tmp
06-11-01 12:58 25,120 idd45.tmp.exe
06-11-01 12:56 0 win44.tmp
06-11-01 12:54 0 win3F.tmp
06-11-01 12:52 0 win38.tmp
06-11-01 12:50 0 win37.tmp
06-11-01 12:30 25,120 idd9.tmp.exe
06-11-01 12:30 52,224 win8.tmp.exe
06-11-01 12:28 0 win6.tmp
06-11-01 12:26 0 win5.tmp
06-11-01 12:23 0 win4.tmp
06-11-01 12:21 0 win3.tmp
06-11-01 12:19 0 win2.tmp
06-11-01 12:17 0 win1.tmp
00-11-14 13:55 308 anet.inf

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06-10-19 20:46 674 ImageShackToolbar.osd
06-10-19 20:46 2,124 ImageShackToolbar.inf
06-08-24 08:28 141,424 asinst.dll
06-08-22 09:06 537 asinst.inf

Verzeichnis von C:\

06-11-01 14:31 0 sys.txt
06-11-01 14:28 1,265 down.txt
06-11-01 14:27 2,207 tmp.txt
06-11-01 14:27 12,761 system.txt
06-11-01 14:26 1,808 systemtemp.txt
06-11-01 14:25 103,945 system32.txt
06-11-01 14:17 536,399,872 hiberfil.sys
06-11-01 14:17 805,306,368 pagefile.sys
06-11-01 12:25 1,360 avenger.txt
06-09-23 15:31 59,889 glas.jpg
06-08-02 15:15 4 dllimp_regmsft985

so hoffe jetzt ist alles da

#24 Mxw1968

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winqzq32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyya

Files to delete:
C:\WINDOWS\system32\ayyxx.ini2
C:\WINDOWS\system32\ayyxx.bak2
C:\WINDOWS\system32\npyeuduy.dll
C:\WINDOWS\system32\jqqmhswm.exe
C:\WINDOWS\system32\ayyxx.ini
C:\WINDOWS\system32\ayyxx.tmp
C:\WINDOWS\system32\ayyxx.bak1
C:\WINDOWS\system32\xxyya.dll
C:\WINDOWS\system32\byxuvuv.dll
C:\WINDOWS\system32\winqzq32.dll
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\~DF3A3F.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\~DF3321.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\mstC7.bat
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD8.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD7.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD5.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD6.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD4.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD3.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD1.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD0.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winD2.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\removalfile.bat
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\mstCA.bat
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winCE.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winCC.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winCB.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\mstCA.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\winC8.tmp
C:\Dokumente und Einstellungen\Wimmer Michael\Lokale Einstellungen\Temp\mstC7.tmp
C:\WINDOWS\Temp\win20F.tmp.exe
C:\WINDOWS\Temp\idd24D.tmp.exe
C:\WINDOWS\Temp\win24C.tmp.exe
C:\WINDOWS\Temp\win249.tmp.exe
C:\WINDOWS\Temp\idd210.tmp.exe
C:\WINDOWS\Temp\win20F.tmp.exe
C:\WINDOWS\Temp\winD8.tmp
C:\WINDOWS\Temp\iddC9.tmp.exe
C:\WINDOWS\Temp\idd45.tmp.exe
C:\WINDOWS\Temp\idd9.tmp.exe
C:\WINDOWS\Temp\win8.tmp.exe

Folders to delete:
C:\Dokumente und Einstellungen\Wimmer Michael\Anwendungsdaten\SearchToolbarCorp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

_______________________

Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y



________________________

»»
cleanup anwenden
http://virus-protect.org/cleanup.html

»»
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#25 1.erledigt
2.erledigt
3.(Dos) erledigt
4.(cleanup) ereldigt


5.
SUPERAntiSpyware Scan Log
Generated 11/01/2006 at 04:06 PM

Application Version : 3.3.1020

Core Rules Database Version : 3118
Trace Rules Database Version: 1141

Scan type : Complete Scan
Total Scan Time : 00:36:02

Memory items scanned : 447
Memory Thread detected : 0
Registry items scanned : 5375
Registry Thread detected : 7
File items scanned : 33044
File Thread detected : 15

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer michael@cgi-bin[2].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer michael@atwola[2].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer michael@ads.admiral[1].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer_michael@de.winantivirus[1].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer michael@partypoker[2].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer_michael@winantivirus[1].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer_michael@indexstats[2].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer michael@partygaming.122.2o7[1].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer_michael@www.winantivirus[1].txt
C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer_michael@stats1.reliablestats[1].txt

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
HKLM\SOFTWARE\Microsoft\MSSMGR#LID

Adware.VSToolbar
HKU\S-1-5-21-1733290971-2243138800-104724495-1005\Software\Search Toolbar Corp

Adware.Universa
C:\DOKUMENTE UND EINSTELLUNGEN\WIMMER MICHAEL\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\BJDVFHSW\SRVTXG[1].EXE
C:\DOKUMENTE UND EINSTELLUNGEN\WIMMER MICHAEL\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\CZVFICTP\SRVAWE[1].EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{7D6FF128-904F-428B-B2A1-CB21DAAB6CDC}\RP852\A0161954.EXE

Trojan.Virtumonde
C:\SYSTEM VOLUME INFORMATION\_RESTORE{7D6FF128-904F-428B-B2A1-CB21DAAB6CDC}\RP852\A0161963.DLL

Trojan.NewDotNet
C:\WINDOWS\NDNUNINST

Danke übrigens für die schnelle Hilfe

#26 es muesste wieder alles o.k. sein, dennoch kannst du noch einen Onlinescan mit panda oder ewido machen (poste hier die reporte)
http://virus-protect.org/onlinescan.html

loesche vorher das backup vom Avenger unter C:\Avenger\backup.zip und leere den Papierkorb
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Gute Nachricht bisher gibt es keinerlei probleme mehr (keine Seiten machen sich von alleine auf bzw keine Virusmeldungen von Norton ect.

der Onlinescan (ewido) hat auch noch ein bischen was zutage gebracht

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Wimmer Michael\Cookies\wimmer michael@ivwbox[2].txt
Risk: Medium

Name: Adware.WebRebates
Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins
Risk: Medium

Name: Adware.180Solutions
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nCASE
Risk: Medium


Name: Trojan.Agent.aae
Path: C:\System Volume Information\_restore{7D6FF128-904F-428B-B2A1-CB21DAAB6CDC}\RP852\A0161938.dll
Risk: High

Name: Adware.NewDotNet
Path: C:\System Volume Information\_restore{7D6FF128-904F-428B-B2A1-CB21DAAB6CDC}\RP852\A0161971.exe
Risk: Medium

Also schön langsam frage ich mich für was ich jedes Jahr 70€ für die neueste Nortonversion ausgebe (auch regelmässig update)wenn man trotzdem allerhand Mist auf den Rechner bekommt ( und ich surfe weder auf dubiosen Seiten, noch nehme ich Mails von Unbekannten an usw.)

Danke nochmals für die viele Mühe

#28 Mxw1968

««
Avenger

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nCASE

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
sich ueber einen sauberen Rechner freuen
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Danke fürn die Großputzhilfe

#30 So Leute, was soll ich machen, bei mir geht er einfach net weg. Bitte nennt mir auch einen für mich spezifischen Weg.
BITTE!!!!!!