Home » Spyware & Browser Hijacker Support Forum » falsche links aus google » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

falsche links aus google

Thema ist geschlossen!

28.10.2006, 13:56

wiro

...neu hier

Beiträge: 10

#1 Hallo,
von Suchergebnissen bei google aus lande ich ständig auf falschen Seiten.
Habe hier zwar schon von einem ähnlichen Problem gelesen, aber die dort genannten Einträge finde ich nicht.

Könnt Ihr euch folgendes mal ansehen?
Wenn Ihr noch mehr überflüssiges seht, bitte gern...

danke!
WIRO

Logfile of HijackThis v1.99.0
Scan saved at 13:43:25, on 28.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {B439D5EB-0A61-4ED9-8C8F-EC4148BB23F7} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B6D320B-D6FA-44F3-A3E0-AEC5E84FBC53}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{543D4E6D-B218-41D2-8638-B82CDC5816EA}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5C4500-5EF8-423E-93D8-B8BCC50680B2}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6876C9B-432D-4F14-BA90-ACDC17E3C8C7}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B6D320B-D6FA-44F3-A3E0-AEC5E84FBC53}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pinnacle Systems Media Service - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware Sandra Prof 2005\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware Sandra Prof 2005\RpcSandraSrv.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-DSL SpeedManager - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

28.10.2006, 16:22

Sabina

Ehrenmitglied

Beiträge: 29434

#2 1.
scanne und poste dieses log
http://virus-protect.org/artikel/tools/fixwareout.html

2.
poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

28.10.2006, 18:52

wiro

...neu hier

Themenstarter

Beiträge: 10

#3 ok!
zu 1.

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BB0A28325368-3038-E664-C804-83EB2B24{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xeqmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Random Runs removed from HKLM
"dmqex.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSOGZ.EXE 51.719 2006-09-25
C:\WINDOWS\SYSTEM32\DMQEX.EXE 61.979 2004-08-04

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

zu 2.
10/28/06 19:02:11 [Info]: BlackLight Engine 1.0.47 initialized
10/28/06 19:02:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/28/06 19:02:11 [Note]: 7019 4
10/28/06 19:02:11 [Note]: 7005 0
10/28/06 19:02:13 [Note]: 7006 0
10/28/06 19:02:13 [Note]: 7011 2548
10/28/06 19:02:13 [Note]: 7026 0
10/28/06 19:02:13 [Note]: 7026 0
10/28/06 19:02:15 [Note]: FSRAW library version 1.7.1020
10/28/06 19:06:54 [Note]: 2000 1012
10/28/06 19:06:54 [Note]: 2000 1012
10/28/06 19:06:55 [Note]: 2000 1012
10/28/06 19:07:06 [Note]: 7007 0

zu 4.
Datentr„ger in Laufwerk C: ist FP1 System
Volumeseriennummer: 9883-C066

Verzeichnis von C:\WINDOWS\system32

28.10.2006 19:17 61.360 perfc009.dat
28.10.2006 19:17 412.660 perfh007.dat
28.10.2006 19:17 401.220 perfh009.dat
28.10.2006 19:17 72.412 perfc007.dat
28.10.2006 19:17 958.756 PerfStringBackup.INI
28.10.2006 19:13 28.066 nvapps.xml
28.10.2006 19:13 49.152 CompiledAdapter
26.10.2006 22:31 2.422 wpa.dbl
26.10.2006 22:02 8.891 jupdate-1.5.0_09-b03.log
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
09.10.2006 23:12 235.520 xpsp3res.dll
08.10.2006 09:20 229.592 FNTCACHE.DAT
04.10.2006 22:03 9.639.336 MRT.exe
25.09.2006 23:09 51.719 csogz.exe
13.09.2006 07:02 1.084.416 msxml3.dll
12.09.2006 17:51 1.245.184 msxml4.dll
04.09.2006 08:13 1.497.088 shdocvw.dll
29.08.2006 10:52 1.052.672 ieframe.dll.mui
29.08.2006 10:51 12.288 advpack.dll.mui
28.08.2006 10:23 3.494.400 mshtml.dll
28.08.2006 10:23 50.688 msfeedsbs.dll
28.08.2006 10:23 152.064 msls31.dll
28.08.2006 10:23 472.576 mshtmled.dll
28.08.2006 10:23 225.792 webcheck.dll
28.08.2006 10:23 413.696 vbscript.dll
28.08.2006 10:23 457.728 msfeeds.dll
28.08.2006 10:23 5.906.432 ieframe.dll
28.08.2006 10:23 1.138.688 urlmon.dll
28.08.2006 10:23 189.440 iepeers.dll
28.08.2006 10:23 670.720 mstime.dll
28.08.2006 10:23 26.624 jsproxy.dll
28.08.2006 10:23 809.472 wininet.dll
28.08.2006 10:23 130.560 extmgr.dll
28.08.2006 10:23 175.616 ieui.dll
28.08.2006 10:09 443.904 html.iec
28.08.2006 10:09 78.336 ieencode.dll
28.08.2006 10:09 206.336 WinFXDocObj.exe
28.08.2006 10:09 1.812.992 inetcpl.cpl
28.08.2006 10:08 105.472 url.dll
28.08.2006 10:08 192.000 msrating.dll
28.08.2006 10:08 40.448 licmgr10.dll
28.08.2006 10:08 100.352 occache.dll
28.08.2006 10:07 16.896 corpol.dll
28.08.2006 10:05 378.368 iedkcs32.dll
28.08.2006 10:05 229.376 ieaksie.dll
28.08.2006 10:05 152.064 ieakeng.dll
28.08.2006 10:05 71.680 admparse.dll
28.08.2006 10:04 55.296 iesetup.dll
28.08.2006 10:04 92.672 inseng.dll
28.08.2006 10:04 11.776 ieudinit.exe
28.08.2006 10:04 43.008 iernonce.dll
28.08.2006 10:04 54.784 ie4uinit.exe
28.08.2006 10:04 122.880 advpack.dll
28.08.2006 10:04 487.424 jscript.dll
28.08.2006 10:02 12.288 msfeedssync.exe
28.08.2006 10:02 61.440 icardie.dll
28.08.2006 10:02 346.624 dxtmsft.dll
28.08.2006 10:02 44.032 pngfilt.dll
28.08.2006 10:01 35.328 imgutil.dll
28.08.2006 10:01 213.504 dxtrans.dll
28.08.2006 10:01 262.656 iertutil.dll
28.08.2006 09:59 45.568 mshta.exe
28.08.2006 09:59 66.560 tdc.ocx
28.08.2006 09:30 56.262 ieuinit.inf
28.08.2006 09:27 380.928 ieapfltr.dll
28.08.2006 09:25 48.128 mshtmler.dll
28.08.2006 09:22 161.792 ieakui.dll
28.08.2006 09:15 1.383.424 mshtml.tlb
25.08.2006 17:46 617.472 comctl32.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 13:58 100.352 6to4svc.dll
15.08.2006 19:32 1.022.976 browseui.dll
15.08.2006 19:32 474.624 shlwapi.dll
10.08.2006 19:45 8.798 icrav03.rat
10.08.2006 19:45 15.584 spmsg.dll
10.08.2006 19:45 22.752 spupdsvc.exe
10.08.2006 19:45 15.820 IE7Eula.rtf
10.08.2006 19:44 2.451.824 ieapfltr.dat
07.08.2006 09:50 1.484.592 LegitCheckControl.DLL
03.08.2006 17:34 466.944 capicom.dll

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

28.10.2006 19:19 173 jusched.log
28.10.2006 19:14 512 ~DF6C6.tmp
28.10.2006 19:14 16.384 ~DF6BB.tmp

Verzeichnis von C:\WINDOWS

28.10.2006 19:13 0 0.log
28.10.2006 19:13 1.923.070 WindowsUpdate.log
28.10.2006 19:13 159 wiadebug.log
28.10.2006 19:13 50 wiaservc.log
28.10.2006 19:13 2.048 bootstat.dat
28.10.2006 19:12 32.546 SchedLgU.Txt
27.10.2006 19:36 175.695 setupapi.log
26.10.2006 22:31 11.686 spupdsvc.log
26.10.2006 22:29 39.152 ie7_main.log
26.10.2006 22:29 55.736 ie7.log
26.10.2006 22:29 19.721 IDNMitigationAPIs.log
26.10.2006 22:29 304 avmcowlan.log
26.10.2006 22:29 704 avmcoins.log
26.10.2006 22:28 19.547 NLSDownlevelMapping.log
26.10.2006 22:28 14.826 KB915865.log
26.10.2006 22:22 8.963 KB914440.log
25.10.2006 19:47 54.156 QTFont.qfn
25.10.2006 01:07 116 NeroDigital.ini
25.10.2006 00:06 1.225 wmsetup.log
24.10.2006 20:27 404 nsw.log
21.10.2006 19:22 2.864 avminstcli.log
21.10.2006 19:22 3.896 avmadd321.log
21.10.2006 19:21 1.722 avmadd32.log
15.10.2006 10:56 22.790 comsetup.log
15.10.2006 10:56 12.989 iis6.log
15.10.2006 10:56 13.807 ntdtcsetup.log
15.10.2006 10:56 30.667 tsoc.log
15.10.2006 10:56 3.762 ocmsn.log
15.10.2006 10:56 1.393 imsins.log
15.10.2006 10:56 37.908 ocgen.log
15.10.2006 10:56 4.017 msgsocm.log
15.10.2006 10:56 80.371 FaxSetup.log
15.10.2006 10:55 22.857 updspapi.log
15.10.2006 10:52 1.393 imsins.BAK
15.10.2006 10:51 10.865 KB918899.log
15.10.2006 10:51 21.577 KB924496.log
15.10.2006 10:50 11.006 KB904942.log
15.10.2006 10:31 1.454 LUINSTALL.LOG
15.10.2006 10:12 12.402 SYMEVENT.LOG
14.10.2006 19:59 13.647 KB924191.log
14.10.2006 19:59 13.565 KB922819.log
14.10.2006 19:59 12.839 KB923414.log
14.10.2006 19:58 10.381 KB923191.log
14.10.2006 19:58 0 setupact.log
14.10.2006 19:58 0 setuperr.log
14.10.2006 19:57 650 win.ini
08.10.2006 09:22 30 Iedit_.INI
02.10.2006 08:35 1.409 QTFont.for
23.09.2006 17:19 30 Iedit.INI
07.08.2006 18:49 382 wiso.ini
06.08.2006 12:03 2.825 tm.ini

Verzeichnis von C:\WINDOWS\Temp

28.10.2006 19:13 16.384 Perflib_Perfdata_174.dat
28.10.2006 19:13 16.384 Perflib_Perfdata_118.dat

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.07.2006 13:52 367 LegitCheckControl.inf
22.10.2005 20:13 65 desktop.ini

Verzeichnis von C:\

28.10.2006 19:36 0 sys.txt
28.10.2006 19:35 747 down.txt
28.10.2006 19:35 348 tmp.txt
28.10.2006 19:34 8.075 system.txt
28.10.2006 19:33 388 systemtemp.txt
28.10.2006 19:27 110.235 system32.txt
28.10.2006 19:13 1.610.612.736 pagefile.sys
24.10.2006 20:50 5.962 TDSLCheck.txt
16.09.2006 16:13 133.180 Gallery.gef
11.09.2006 21:21 40 pronto.css

Dieser Beitrag wurde am 28.10.2006 um 19:41 Uhr von wiro editiert.

29.10.2006, 00:12

Sabina

Ehrenmitglied

Beiträge: 29434

#4 wiro

Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\system32\csogz.exe
C:\WINDOWS\SYSTEM32\DMQEX.EXE

PC neustarten

__________________________________________________________

die internetverbindung wird in die ukraine weitergeleitet.

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {B439D5EB-0A61-4ED9-8C8F-EC4148BB23F7} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{0B6D320B-D6FA-44F3-A3E0-AEC5E84FBC53}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{543D4E6D-B218-41D2-8638-B82CDC5816EA}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5C4500-5EF8-423E-93D8-B8BCC50680B2}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6876C9B-432D-4F14-BA90-ACDC17E3C8C7}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B6D320B-D6FA-44F3-A3E0-AEC5E84FBC53}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97

PC neustarten

««
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
+
poste das neue log vom hijackhhis
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2006, 10:14

wiro

...neu hier

Themenstarter

Beiträge: 10

#5 auch erledigt...

Result: 18 malware found
Possible Browser Hijack attempt (spyware)
System (Disinfected)
SpywareNo (spyware)
System (Disinfected)
Startpage.CSU (virus)
C:\!KILLBOX\AZEBAR.XML (Submitted)
Tracking Cookie (spyware)
System (Disinfected)
Trojan-Downloader.Win32.Adload.j (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\4E177F63.EXE (Renamed & Submitted)
Trojan-Downloader.Win32.Adload.l (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\62FF5937.EXE (Renamed & Submitted)
Trojan-Downloader.Win32.Harnig.bb (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\7BAC1598.EXE (Renamed & Submitted)
Trojan-Downloader.Win32.VB.ur (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\67E71454.EXE (Renamed & Submitted)
Trojan-Downloader.Win32.VB.vs (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\3E375D58.EXE (Renamed & Submitted)
Trojan-Spy.Win32.Small.eu (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\18CF4B66.DLL (Renamed & Submitted)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\62521FEA.DLL (Renamed & Submitted)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\7BA86B9B.EXE (Renamed & Submitted)
Trojan-Spy.Win32.Small.ex (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\2FDF28E7.EXE (Renamed & Submitted)
Trojan.Win32.DNSChanger.dd (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\773D6557.EXE (Renamed & Submitted)
Trojan.Win32.DNSChanger.du (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\3EF1368B.EXE (Renamed & Submitted)
Trojan.Win32.Small.hf (virus)
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\QUARANTINE\4824766C.EXE (Renamed & Submitted)
UCmore (spyware)
System (Disinfected)
Windows (spyware)
System (Disinfected)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 43415
System: 5138
Not scanned: 5
Actions:
Disinfected: 5
Renamed: 12
Deleted: 0
None: 1
Submitted: 13
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{C35C76D3-A6D0-4A53-AFD4-953B43CAF999}.BIN
C:\PROGRAMME\T-DSL SPEEDMANAGER\PCANDIS5.SYS
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS DEFENDER\FILETRACKER\{C5F9379D-5F1E-4B42-95D1-F13F45B04699}

Logfile of HijackThis v1.99.0
Scan saved at 10:10:39, on 29.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pinnacle Systems Media Service - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware Sandra Prof 2005\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware Sandra Prof 2005\RpcSandraSrv.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-DSL SpeedManager - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

29.10.2006, 10:42

Sabina

Ehrenmitglied

Beiträge: 29434

#6 das sieht schon mal gut aus

mache noch einen Onlinescan mit panda oder ewido und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2006, 11:52

wiro

...neu hier

Themenstarter

Beiträge: 10

#7 na prima!

oder noch nicht ganz?

Incident Status Location

Adware:adware/dollarrevenue Not disinfected c:\windows\drsmartload2.dat
Adware:adware/maxifiles Not disinfected c:\programme\gemeinsame dateien\InetGet
Adware:adware/myorder Not disinfected Windows Registry
Virus:Trj/dmRandom.DW Disinfected C:\!KillBox\DMQEX.EXE
Adware:Adware/CashDeluxe Not disinfected C:\!KillBox\intxt.exe
Adware:Adware/CashDeluxe Not disinfected C:\!KillBox\temp.000.exe
Hacktool:Exploit/ByteVerify Not disinfected C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5f22f99-7fe05222.zip[NewSecurityClassLoader.class]
Hacktool:Exploit/ByteVerify Not disinfected C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5f22f99-7fe05222.zip[NewURLClassLoader.class]
Hacktool:Exploit/ByteVerify Not disinfected C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv470.jar-1ab62644-193aee71.zip[Dummy.class]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@fe.lea.lycos[1].txt
Virus:Trj/dmRandom.DW Disinfected C:\RECYCLER\NPROTECT\00000583.exe
Virus:Trj/dmRandom.DW Disinfected C:\RECYCLER\NPROTECT\00000588.exe
Adware:Adware/CashDeluxe Not disinfected D:\Downloads\backups\backup-20060201-221528-738.dll

29.10.2006, 12:02

Sabina

Ehrenmitglied

Beiträge: 29434

#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
c:\windows\drsmartload2.dat
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5f22f99-7fe05222.zip
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv470.jar-1ab62644-193aee71.zip

Folders to delete:
c:\programme\gemeinsame dateien\InetGet

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das og vom avenger, was nach neustart erscheint

««
loesche ,manuell:

D:\Downloads\backups\backup-20060201-221528-738.dll
C:\!KillBox\ -> leeren
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2006, 13:20

wiro

...neu hier

Themenstarter

Beiträge: 10

#9 ok, das hab ich auch gemacht...
war es das jetzt?

ogfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cgiwnfij

*******************

Script file located at: \??\C:\WINDOWS\hyiwhofj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\drsmartload2.dat deleted successfully.
File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5f22f99-7fe05222.zip deleted successfully.
File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv470.jar-1ab62644-193aee71.zip deleted successfully.
Folder c:\programme\gemeinsame dateien\InetGet deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

29.10.2006, 16:31

Sabina

Ehrenmitglied

Beiträge: 29434

#10 loesche wieder das backup vom Avenger

**
lade - scanne - poste den scanreport (unter Quarantaene)
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2006, 17:33

wiro

...neu hier

Themenstarter

Beiträge: 10

#11 ja das habe ich auch gemacht,
es scheint sich ja eine Menge Müll angesammelt zu haben...

so ok?

Anhang: Neues Bild (2).JPG

29.10.2006, 18:23

Sabina

Ehrenmitglied

Beiträge: 29434

#12 findest du noch einen detaillierten Bericht ?
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2006, 18:38

wiro

...neu hier

Themenstarter

Beiträge: 10

#13 oh ja, hier:

SUPERAntiSpyware Scan Log
Generated 10/29/2006 at 05:12 PM

Application Version : 3.3.1020

Core Rules Database Version : 3115
Trace Rules Database Version: 1139

Scan type : Complete Scan
Total Scan Time : 00:27:05

Memory items scanned : 461
Memory Thread detected : 0
Registry items scanned : 6602
Registry Thread detected : 21
File items scanned : 53182
File Thread detected : 23

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@stat.dealtime[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@euros4click[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@e-2dj6wjmicgajmcp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@revsci[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.dealtime[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.t-online[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@advertising[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bizrate[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.highfi-stats[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atwola[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@dealtime[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@komtrack[2].txt

Trojan.NetMon/DNSChange
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#DeviceDesc

Trojan.cmdService
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#DeviceDesc

Adware.IEPlugin
HKCR\Remove

Trojan.SmartLoad
HKLM\Software\Microsoft\drsmartload2
HKLM\Software\Microsoft\drsmartload2#Installed

Adware.CashDeluxe
C:\RECYCLER\S-1-5-21-2000478354-746137067-839522115-1003\DC15.EXE

Trojan.Laguna Media
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F5208753-6EE0-41BD-ABAE-16F53F04F850}\RP377\A0029954.DLL
D:\RECYCLER\S-1-5-21-2000478354-746137067-839522115-1003\DD1.DLL
D:\SYSTEM VOLUME INFORMATION\_RESTORE{F5208753-6EE0-41BD-ABAE-16F53F04F850}\RP380\A0029975.DLL

29.10.2006, 18:41

Sabina

Ehrenmitglied

Beiträge: 29434

#14 1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

poste den report nach neustart
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2006, 19:21

wiro

...neu hier

Themenstarter

Beiträge: 10

#15 puh, das nimmt ja kein ende...

Besitzer - 06-10-29 19:16:30,85 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Besitzer\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Programme\Gemeinsame Dateien\windows

((((((((((((((((((((((((((((((( Files Created from 2006-09-29 to 2006-10-29 ))))))))))))))))))))))))))))))))))

2006-10-21 18:21 33,792 -ra------ C:\WINDOWS\system32\avmcowlan.dll
2006-10-21 18:21 264,704 -ra------ C:\WINDOWS\system32\drivers\fwlanusb.sys
2006-10-15 09:51 121,856 --------- C:\WINDOWS\system32\xmllite.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-10-29 19:17 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-29 16:43 -------- d-------- C:\Programme\SUPERAntiSpyware
2006-10-29 16:43 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-29 16:43 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com
2006-10-29 11:20 -------- d-------- C:\Programme\WinUHA
2006-10-29 11:20 -------- d-------- C:\Programme\Windows Defender
2006-10-29 11:20 -------- d-------- C:\Programme\WinAce
2006-10-29 11:13 -------- d-------- C:\Programme\Microsoft IntelliType Pro
2006-10-29 11:13 -------- d-------- C:\Programme\Internet Explorer
2006-10-29 11:12 -------- d-------- C:\Programme\avmwlanstick
2006-10-28 18:10 -------- d-------- C:\Programme\CleanUp!
2006-10-26 21:02 -------- d-------- C:\Programme\Java
2006-10-24 22:59 -------- d-------- C:\Programme\AnoNet
2006-10-24 22:59 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AnoNet
2006-10-24 19:41 -------- d-------- C:\Programme\FRITZ!DSL
2006-10-21 17:54 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AdobeUM
2006-10-15 09:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-15 09:31 -------- d-------- C:\Programme\Symantec
2006-10-15 09:30 -------- d-------- C:\Programme\Norton SystemWorks
2006-10-14 18:56 -------- d-------- C:\Programme\MSXML 4.0
2006-10-14 18:37 -------- d-------- C:\Programme\Ad-aware 6
2006-10-09 21:34 -------- d-------- C:\Programme\Pixelnet2Picture
2006-10-08 08:33 -------- d-------- C:\Programme\Ulead PhotoImpact 11
2006-10-07 13:10 -------- d-------- C:\Programme\fotobuch.de Designer
2006-10-07 13:10 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\fotobuch.de AG
2006-10-07 13:10 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\fotobuch.de
2006-09-30 14:45 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-30 14:45 -------- d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2006-09-18 17:28 -------- d-------- C:\Programme\T-DSL SpeedManager
2006-09-18 17:24 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\T-DSL SpeedManager
2006-09-17 17:04 -------- d-------- C:\Programme\ProntoEditNG
2006-09-16 09:52 -------- d-------- C:\Programme\MSN Messenger
2006-09-14 19:02 -------- d-------- C:\Programme\ProntoEdit4
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 16:51 1245184 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-11 21:50 -------- d--h----- C:\Programme\Zero G Registry
2006-09-11 21:50 -------- d-------- C:\Programme\Tonto
2006-09-03 18:02 -------- d-------- C:\Programme\Adobe
2006-08-28 09:23 5906432 --------- C:\WINDOWS\system32\ieframe.dll
2006-08-28 09:23 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-08-28 09:23 457728 --------- C:\WINDOWS\system32\msfeeds.dll
2006-08-28 09:23 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-08-28 09:23 225792 --a------ C:\WINDOWS\system32\webcheck.dll
2006-08-28 09:23 175616 --------- C:\WINDOWS\system32\ieui.dll
2006-08-28 09:23 152064 --a------ C:\WINDOWS\system32\msls31.dll
2006-08-28 09:09 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-08-28 09:09 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-08-28 09:08 40448 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-08-28 09:08 105472 --a------ C:\WINDOWS\system32\url.dll
2006-08-28 09:08 100352 --a------ C:\WINDOWS\system32\occache.dll
2006-08-28 09:07 16896 --a------ C:\WINDOWS\system32\corpol.dll
2006-08-28 09:05 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-08-28 09:05 378368 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-08-28 09:05 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-08-28 09:05 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-08-28 09:04 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-08-28 09:04 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-08-28 09:04 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-08-28 09:04 122880 --a------ C:\WINDOWS\system32\advpack.dll
2006-08-28 09:04 11776 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-08-28 09:02 61440 --------- C:\WINDOWS\system32\icardie.dll
2006-08-28 09:02 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-08-28 09:01 35328 --a------ C:\WINDOWS\system32\imgutil.dll
2006-08-28 09:01 262656 --------- C:\WINDOWS\system32\iertutil.dll
2006-08-28 08:59 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-08-28 08:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-08-28 08:25 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-08-28 08:22 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-10 18:45 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"IW_Drop_Icon"="C:\\Programme\\Pinnacle\\InstantCDDVD\\InstantWrite\\iwctrl.exe /DropDisc"
"extraaxis"="C:\\DOKUME~1\\Besitzer\\ANWEND~1\\LONGSO~1\\dead locks.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\\\PSDrvCheck.exe"
"SoundMan"="SOUNDMAN.EXE"
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"Logitech Utility"="Logi_MwX.Exe"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NetPumper"="\"C:\\Programme\\NetPumper\\NetPumperIEProxy.exe\""
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"Norton Ghost 9.0"="C:\\Programme\\Norton SystemWorks\\Norton Ghost\\Agent\\GhostTray.exe"
"Ulead AutoDetector v2"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"PCLEPCI"="C:\\PROGRA~1\\Pinnacle\\PPE\\PPE.EXE"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\bin\\jusched.exe"
"USBToolTip"="\"C:\\Programme\\Pinnacle\\Shared Files\\\\Programs\\USBTip\\USBTip.exe\""
"yaemu.exe"="C:\\WINDOWS\\system32\\yaemu.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{553858A7-4922-4e7e-B1C1-97140C1C16EF}"="IE Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDrives"=dword:00000000
"NoViewOnDrive"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Shell"="\"C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Web Folders\\ibm00001.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
@=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20061028-141813-905
O17 - HKLM\System\CCS\Services\Tcpip\..\{543D4E6D-B218-41D2-8638-B82CDC5816EA}: NameServer = 85.255.115.61,85.255.112.97
backup-20061028-141813-809
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
backup-20061028-141813-670
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
backup-20061028-141813-730
O2 - BHO: (no name) - {B439D5EB-0A61-4ED9-8C8F-EC4148BB23F7} - (no file)
backup-20061028-141813-720
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5C4500-5EF8-423E-93D8-B8BCC50680B2}: NameServer = 85.255.115.61,85.255.112.97
backup-20061028-141813-542
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6876C9B-432D-4F14-BA90-ACDC17E3C8C7}: NameServer = 85.255.115.61,85.255.112.97
backup-20061028-141813-510
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B6D320B-D6FA-44F3-A3E0-AEC5E84FBC53}: NameServer = 85.255.115.61,85.255.112.97
backup-20061028-141813-677
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B6D320B-D6FA-44F3-A3E0-AEC5E84FBC53}: NameServer = 85.255.115.61,85.255.112.97
backup-20061028-141446-310
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
backup-20060201-221528-738
O2 - BHO: winapi32.MyBHO - {B439D5EB-0A61-4ED9-8C8F-EC4148BB23F7} - C:\WINDOWS\system32\winapi32.dll
backup-20051124-230655-885
O17 - HKLM\System\CS1\Services\Tcpip\..\{092FF4C6-E108-4EF0-8906-69F44C4A72AA}: NameServer = 85.255.114.26,85.255.112.120
backup-20051124-230655-876
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B6D320B-D6FA-44F3-A3E0-AEC5E84FBC53}: NameServer = 85.255.114.26,85.255.112.120
backup-20051124-230655-624
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4986A2A-004D-4636-8AE0-B870B909D80C}: NameServer = 85.255.114.26 85.255.112.120
backup-20051124-230655-361
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5C4500-5EF8-423E-93D8-B8BCC50680B2}: NameServer = 85.255.114.26,85.255.112.120
backup-20051124-230655-208
O17 - HKLM\System\CCS\Services\Tcpip\..\{092FF4C6-E108-4EF0-8906-69F44C4A72AA}: NameServer = 85.255.114.26,85.255.112.120
backup-20051124-230654-890
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
backup-20051124-230655-870
O17 - HKLM\System\CCS\Services\Tcpip\..\{543D4E6D-B218-41D2-8638-B82CDC5816EA}: NameServer = 85.255.114.26,85.255.112.120
backup-20051124-230654-910
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130007416360
backup-20051124-230654-986
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130007426985
backup-20051124-230654-767
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
backup-20051124-230653-873
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{D1AC57D3-D254-4489-97A3-3784D22077D9}.job

Completion time: 06-10-29 19:17:18.00
C:\ComboFix.txt ... 06-10-29 19:17

und:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lvcirrbm

*******************

Script file located at: \??\C:\WINDOWS\system32\dkcwalso.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

Dieser Beitrag wurde am 29.10.2006 um 19:28 Uhr von wiro editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2