Critical System Warning durch Spy-Ware

Thema ist geschlossen!
Thema ist geschlossen!
#0
31.10.2006, 21:18
...neu hier

Beiträge: 1
#1 Ich wollte mir eine Video-Software runterladen, hab auf Download geklickt und seitdem werd ich mit dieser Werbung und diesen Virusmeldungen belästigt.
Wie werde ich diese Belästigung wieder los? Bei jedem log-in erscheint diese Warnung mit dem Hinweis auf kritische Sicherheitsmängel!
Wer weiß Rat???

Security Alert: Spyware found
Critical System Error!
Critical System Warning!
Seitenanfang Seitenende
01.11.2006, 15:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 boden17

arbeite das ab und poste hier die logs, dann reinigen wir das ;)
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 11:14
Member

Beiträge: 27
#3 ich hab n ähnliches problem und hab mitm hijackthis bereits ne liste erstellt

Logfile of HijackThis v1.99.1
Scan saved at 11:08:09, on 22.11.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ipwins\ipwins.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\ismini.exe
C:\Dokumente und Einstellungen\......\Eigene Dateien\g-unit\firefox\firefox.exe
C:\WINDOWS\TEMP\win4D.tmp.exe
C:\Dokumente und Einstellungen\......\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\.....\Eigene Dateien\g-unit\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\.....\Eigene Dateien\g-unit\icq\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O20 - AppInit_DLLs:
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

kannste mir vielleicht sagen was ich da fixen muss um den schrott loszuwerden?

dann die combofix file:

ComboFix 06.11.22 - Running from: "C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ixt0.dll
C:\Programme\Inetget2
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{120E14E8-02EF-1031-1105-990002030031}
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Ipwins


((((((((((((((((((((((((((((((( Files Created from 2006-10-22 to 2006-11-22 ))))))))))))))))))))))))))))))))))


2006-11-22 10:16 <DIR> d-------- C:\Dokumente und Einstellungen\C. Langer\Anwendungsdaten\Mozilla
2006-11-22 09:54 <DIR> d-------- C:\Programme\Common Files
2006-11-22 09:45 60,436 --a------ C:\WINDOWS\SYSTEM32\qxixjbiu.dll
2006-11-22 09:45 <DIR> d-------- C:\Programme\Virus-Bursters
2006-11-22 09:44 77,824 --a------ C:\WINDOWS\SYSTEM32\fmrmhc.dll
2006-11-22 09:44 614,865 ---hs---- C:\WINDOWS\SYSTEM32\hknmp.bak1
2006-11-22 09:44 126,996 --a------ C:\WINDOWS\SYSTEM32\gtrldhtq.dll
2006-11-22 09:44 110,612 --a------ C:\WINDOWS\SYSTEM32\dopnwjpa.exe
2006-11-22 09:44 <DIR> d-------- C:\Programme\VSAdd-in
2006-11-22 09:43 692,276 ---hs---- C:\WINDOWS\SYSTEM32\pmnkh.dll
2006-11-22 09:39 2 --a------ C:\WINDOWS\SYSTEM32\wnscpcc.exe
2006-11-22 09:38 59,392 --a------ C:\WINDOWS\SYSTEM32\drvvut.dll
2006-11-22 09:38 40,973 ---hs---- C:\WINDOWS\SYSTEM32\rqrsssp.dll
2006-11-22 09:38 17,408 --a------ C:\WINDOWS\SYSTEM32\wineyy32.dll
2006-11-09 21:06 <DIR> d--hs---- C:\FOUND.001
2006-11-02 19:05 <DIR> d-------- C:\WINDOWS\Minidump


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-17 15:17 43520 --a------ C:\WINDOWS\SYSTEM32\CmdLineExt03.dll
2006-10-20 15:19 -------- d-------- C:\Programme\Gemeinsame Dateien\DirectX
2006-10-20 15:18 12400 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
2006-10-18 20:17 25600 --a------ C:\WINDOWS\SYSTEM32\NeroCheck.exe
2006-10-15 11:38 -------- d-------- C:\Programme\Auto News Neuwagen-Katalog, Ausgabe 8-9 2006
2006-10-14 23:04 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-10-13 15:14 -------- d-------- C:\Programme\ULTIMATE SYSTEMS
2006-10-08 13:25 25400 --a------ C:\Dokumente und Einstellungen\C. Langer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-19 20:47 21840 --a------ C:\WINDOWS\SYSTEM32\SIntfNT.dll
2006-09-19 20:47 17212 --a------ C:\WINDOWS\SYSTEM32\SIntf32.dll
2006-09-19 20:47 12067 --a------ C:\WINDOWS\SYSTEM32\SIntf16.dll
2006-09-19 20:44 2829 --a------ C:\WINDOWS\DIIUnin.pif
2006-09-19 20:44 102400 --a------ C:\WINDOWS\DIIUnin.exe
2006-08-07 17:53 62 --ahs---- C:\Dokumente und Einstellungen\C. Langer\Anwendungsdaten\desktop.ini
2006-08-06 14:25 266 ---hs---- C:\Programme\desktop.ini
2006-08-06 14:25 11253 ---h----- C:\Programme\folder.htt


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SystemTray"="SysTray.Exe"
"T-Online DSL-Manager"="\"C:\\Programme\\T-Online\\DSL-Manager\\TODslMgr.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ATIPTA"="atiptaxx.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,ba,00,00,00,00,00,00,00,46,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,72,03,00,00,23,00,00,00,fc,00,00,00,f2,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ToADiMon.exe"="C:\\PROGRAMME\\T-ONLINE\\T-ONLINE_SOFTWARE_5\\BASIS-SOFTWARE\\BASIS1\\ToADiMon.exe -TOnlineAutodialStart"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
"AtiCwd32"="Aticwd32.exe"
"AtiQiPcl"="AtiQiPcl.exe"
"AtiPTA"="Atiptaxx.exe"
"AOTray"="AOTray.Exe"
"mdac_runonce"="C:\\WINDOWS\\SYSTEM32\\RUNONCE.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"SchedulingAgent"="mstask.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\WINDOWS\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
"path"="C:\\WINDOWS\\All Users\\Startmenü\\Programme\\Autostart\\Erinnerungen für Microsoft Works-Kalender.lnk"
"backup"="C:\\WINDOWS\\pss\\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\MICROS~1\\WORKSS~1\\wkcalrem.exe "
"item"="Erinnerungen für Microsoft Works-Kalender"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\WINDOWS\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDrive]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="drvvut"
"hkey"="HKLM"
"command"="rundll32.exe C:\\WINDOWS\\System32\\drvvut.dll,startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Dokumente und Einstellungen\\C. Langer\\Eigene Dateien\\g-unit\\icq\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ToADiMon"
"hkey"="HKLM"
"command"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zango"
"hkey"="HKLM"
"command"="\"c:\\programme\\zango\\zango.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=dword:00000002
"RSVP"=dword:00000003

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineyy32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Programmstart beschleunigen.job

Completion time: 06-11-22 11:26:07.59
C:\ComboFix.txt ... 06-11-22 11:26

und zu guter letzt die logs:

Verzeichnis von C:\WINDOWS\SYSTEM32

22.11.2006 11:31 642.831 hknmp.ini
22.11.2006 10:08 4.286 ot.ico
22.11.2006 10:08 4.286 ts.ico
22.11.2006 09:45 60.436 qxixjbiu.dll
22.11.2006 09:44 110.612 dopnwjpa.exe
22.11.2006 09:44 126.996 gtrldhtq.dll
22.11.2006 09:44 614.865 hknmp.bak1
22.11.2006 09:44 77.824 fmrmhc.dll
22.11.2006 09:43 692.276 pmnkh.dll
22.11.2006 09:39 2 wnscpcc.exe
22.11.2006 09:38 59.392 drvvut.dll
22.11.2006 09:38 40.973 rqrsssp.dll
22.11.2006 09:38 17.408 wineyy32.dll

17.11.2006 15:17 43.520 CmdLineExt03.dll
17.11.2006 15:06 2.184 wpa.dbl
29.10.2006 12:21 135.664 FNTCACHE.DAT
18.10.2006 20:17 25.600 NeroCheck.exe
14.10.2006 23:03 176.167 rmoc3260.dll
14.10.2006 23:03 5.632 pndx5032.dll
14.10.2006 23:03 6.656 pndx5016.dll
14.10.2006 23:03 278.528 pncrt.dll
21.09.2006 15:39 23.148 Atmdeuxx.GID
21.09.2006 15:39 22 ati64hlp.stb
20.09.2006 21:18 22 ati64hl2.stb


Verzeichnis von C:\DOKUME~1\CA46E~1.LAN\LOKALE~1\Temp

22.11.2006 11:31 289 datFind.zip
22.11.2006 11:26 4 abc123.pid
2 Datei(en) 293 Bytes
0 Verzeichnis(se), 5.469.782.016 Bytes frei

Verzeichnis von C:\WINDOWS

22.11.2006 11:25 0 0.log
22.11.2006 11:25 2.048 bootstat.dat
22.11.2006 10:44 3.407 mozver.dat
22.11.2006 10:35 32.556 SchedLog.Txt
22.11.2006 10:01 1.629 win.ini
22.11.2006 10:01 410 system.ini
22.11.2006 09:53 395.636 setupapi.log
22.11.2006 00:28 216 wiadebug.log
22.11.2006 00:28 50 wiaservc.log
21.11.2006 21:06 56.344 wmsetup.log
20.11.2006 23:53 69 NeroDigital.ini
20.11.2006 20:49 191 uno.ini
01.11.2006 18:01 54.156 QTFont.qfn
20.10.2006 15:12 77.942 DirectX.log
15.10.2006 12:07 1.409 QTFont.for
12.10.2006 18:28 9.260 ntdtcsetup.log
12.10.2006 18:28 17.734 comsetup.log
12.10.2006 18:28 59.655 iis6.log
12.10.2006 18:28 1.725 ocmsn.log

Verzeichnis von C:\WINDOWS\TEMP

------

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.08.2006 18:06 65 desktop.ini
22.06.2006 11:41 5.032 swflash.inf
01.06.2004 14:41 853 yinst.inf
01.06.2004 14:36 141.312 yinsthelper.dll
03.06.2002 17:53 144 QTPlugin.inf
16.04.1999 04:30 562 Internet Explorer Classes for Java.osd
05.11.1998 16:11 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
8 Datei(en) 149.827 Bytes
0 Verzeichnis(se), 5.469.732.864 Bytes frei

Verzeichnis von C:\

22.11.2006 11:35 0 sys.txt
22.11.2006 11:34 712 down.txt
22.11.2006 11:34 117 tmp.txt
22.11.2006 11:34 8.568 system.txt
22.11.2006 11:33 346 systemtemp.txt
22.11.2006 11:31 107.200 system32.txt
22.11.2006 11:26 12.076 ComboFix.txt
22.11.2006 11:25 1.132 vm404.log
22.11.2006 11:25 402.182.144 hiberfil.sys
22.11.2006 11:25 201.326.592 pagefile.sys
22.11.2006 10:01 200 boot.ini
20.10.2006 15:18 173 debugInstaller.txt
15.10.2006 11:38 488 inst_annw_2006_08-09.log
10.09.2006 11:37 22.903 SDSSetup.log

danke im vorraus für alle hilfe ^^
Dieser Beitrag wurde am 22.11.2006 um 11:35 Uhr von sleepy05 editiert.
Seitenanfang Seitenende
22.11.2006, 11:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 sleepy05

bevor ich das reinige:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\NeroCheck.exe
C:\WINDOWS\mstask.exe


poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 14:02
Member

Beiträge: 27
#5 Complete scanning result of "NeroCheck.exe", received in VirusTotal at 11.22.2006, 13:48:48 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.44 11.22.2006 TR/LowZones.AH.3
Authentium 4.93.8 11.22.2006 W32/Downloader.ANEY
Avast 4.7.892.0 11.22.2006 Win32:Agent-CFO
AVG 386 11.20.2006 Downloader.Agent.GJW
BitDefender 7.2 11.22.2006 Trojan.Downloader.Agent.AWF
CAT-QuickHeal 8.00 11.21.2006 TrojanDownloader.Agent.awf
ClamAV devel-20060426 11.22.2006 Trojan.Downloader.Agent-1151
DrWeb 4.33 11.22.2006 Trojan.LowZones.192
eSafe 7.0.14.0 11.20.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.63 11.22.2006 Win32/Secdrop.2qf!Trojan
eTrust-Vet 30.3.3205 11.21.2006 Win32/Secdop.MT
Ewido 4.0 11.22.2006 Downloader.Agent.awf
Fortinet 2.82.0.0 11.22.2006 suspicious
F-Prot 3.16f 11.22.2006 security risk named W32/Downloader.ANEY
F-Prot4 4.2.1.29 11.22.2006 W32/Downloader.ANEY
Ikarus 0.2.65.0 11.22.2006 no virus found
Kaspersky 4.0.2.24 11.22.2006 Trojan-Downloader.Win32.Agent.awf
McAfee 4901 11.21.2006 QLowZones-14
Microsoft 1.1804 11.22.2006 no virus found
NOD32v2 1877 11.22.2006 a variant of Win32/TrojanDownloader.Agent.AWF
Norman 5.80.02 11.21.2006 W32/LowZones.AHJ
Panda 9.0.0.4 11.21.2006 Trj/Lowzones.SY
Prevx1 V2 11.22.2006 no virus found
Sophos 4.11.0 11.16.2006 Troj/Agent-DQB
TheHacker 6.0.3.122 11.21.2006 Trojan/Downloader.Agent.awf
UNA 1.83 11.21.2006 TrojanDownloader.Win32.Agent.b
VBA32 3.11.1 11.22.2006 Trojan-Downloader.Win32.Agent.awf
VirusBuster 4.3.15:9 11.22.2006 Trojan.DL.Agent.QLX

Aditional Information
File size: 25600 bytes
MD5: 6a679c11af3ffe91217c4ad51243afca
SHA1: b887e45c3c4d2da5d38a9f7c4fa0385cfcf9ede4
packers: UPX
packers: UPX
packers: UPX
packers: UPX
packers: UPX

die erste file hat er gefunden und nach meiner meinung sieh böse verseucht aus aber mstask kann ich beim besten willen nit finden. weder in dem pfad den du angegeben hast noch mit der such-funktion sry
Seitenanfang Seitenende
22.11.2006, 15:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 sleepy05

1.
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|NeroFilterCheck
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|IpWins

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDrive
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineyy32
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango

Files to delete:
C:\WINDOWS\SYSTEM32\hknmp.ini
C:\WINDOWS\SYSTEM32\ot.ico
C:\WINDOWS\SYSTEM32\ts.ico
C:\WINDOWS\SYSTEM32\qxixjbiu.dll
C:\WINDOWS\SYSTEM32\dopnwjpa.exe
C:\WINDOWS\SYSTEM32\gtrldhtq.dll
C:\WINDOWS\SYSTEM32\hknmp.bak1
C:\WINDOWS\SYSTEM32\fmrmhc.dll
C:\WINDOWS\SYSTEM32\pmnkh.dll
C:\WINDOWS\SYSTEM32\wnscpcc.exe
C:\WINDOWS\SYSTEM32\drvvut.dll
C:\WINDOWS\SYSTEM32\rqrsssp.dll
C:\WINDOWS\SYSTEM32\wineyy32.dll
C:\WINDOWS\SYSTEM32\NeroCheck.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\abc123.pid

Folders to delete:
C:\Programme\MyGlobalSearch
c:\programme\zango
C:\Programme\Virus-Bursters
C:\Programme\VSAdd-in
C:\Programme\Gemeinsame Dateien\{120E14E8-02EF-1031-1105-990002030031}
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

»»
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

---------------------------------------------------------------

poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 15:48
Member

Beiträge: 27
#7 ich habs mit nem Anti-spy tool probiert. Spyware Doctor um genau zu sein. sieht so aus als hät er alle erwischt (zumindest hat er angegeben 509 gekillt zu ham) ich seh jetzt erstmal wies weitergeht und wenns probleme gibt meld ich mich aber trotzdem danke.
die ganzen links warn ne ziemliche hilfe und ich hab vorallem ne menge neues gelernt, sprich die sache war nich ganz vergebens ^^

also nochmal danke
chris
Seitenanfang Seitenende
22.11.2006, 15:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 sleepy05

ich bezweifel, dass Spyware Doctor den Vundo-Trojaner und alles andere (Trojan.Downloader.Agent.AWF) restlos loescht...
du musst es wissen, es ist dein Rechner.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 19:01
Member

Beiträge: 27
#9 ja ok sry ich geb zu ich war etwas voreilig aber ich bin halt kein sehr geduldiger mensch ;)

naja ich hab jedenfalls mal gemacht was du gesagt hast:

SUPERAntiSpyware Scan Log
Generated 11/22/2006 at 06:51 PM

Application Version : 3.3.1020

Core Rules Database Version : 3134
Trace Rules Database Version: 1151

Scan type : Complete Scan
Total Scan Time : 00:32:12

Memory items scanned : 298
Memory Thread detected : 4
Registry items scanned : 5110
Registry Thread detected : 96
File items scanned : 18384
File Thread detected : 15

Trojan.Downloader-RNFSave
C:\WINDOWS\SYSTEM32\LJJJGDC.DLL
C:\WINDOWS\SYSTEM32\LJJJGDC.DLL
HKLM\Software\Classes\CLSID\{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}
HKCR\CLSID\{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}
HKCR\CLSID\{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}\InprocServer32
HKCR\CLSID\{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\ljjjgdc

Adware.ClickSpring-Variant
C:\DOKUME~1\CA46E~1.LAN\ANWEND~1\SMANTE~1\CSRSS.EXE
C:\DOKUME~1\CA46E~1.LAN\ANWEND~1\SMANTE~1\CSRSS.EXE

Adware.ClickSpring/Resident
C:\WINDOWS\SYSTEM32\?RACLE\J?VAW.EXE
C:\WINDOWS\SYSTEM32\?RACLE\J?VAW.EXE

Adware.ClickSpring
C:\WINDOWS\SYSTEM32\RACLE~1\JVAW~1.EXE
[Etrc] C:\DOKUME~1\CA46E~1.LAN\ANWEND~1\SMANTE~1\CSRSS.EXE
C:\WINDOWS\SYSTEM32\RACLE~1\JVAW~1.EXE

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}
HKCR\CLSID\{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}
HKCR\CLSID\{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}\InprocServer32
HKCR\CLSID\{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}\InprocServer32#ThreadingModel
HKCR\CLSID\{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}\Programmable
HKCR\CLSID\{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}\TypeLib
C:\WINDOWS\SYSTEM32\FTT.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}
HKU\S-1-5-21-1292428093-1682526488-1708537768-1004\Software\Microsoft\Internet Explorer\URLSearchHooks#{25BF24B1-B905-E1A5-2C52-CBCE1DB2EBB6}
HKCR\TypeLib\{E79B7263-8314-E5F0-0FB9-E4F6489E153F}
HKCR\CLSID\{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}
HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}
HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}\InprocServer32
HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}\InprocServer32#ThreadingModel

Adware.MyGlobalSearchBar
HKLM\Software\Classes\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}
HKCR\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}
HKCR\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}
HKCR\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}\InprocServer32
HKCR\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}\InprocServer32#ThreadingModel
HKCR\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}\Programmable
HKCR\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}\TypeLib
C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
HKLM\Software\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}
HKCR\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}
HKCR\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}
HKCR\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\InprocServer32
HKCR\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\InprocServer32#ThreadingModel
HKCR\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\Programmable
HKCR\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\TypeLib
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37B85A21-692B-4205-9CAD-2626E4993404}
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{37B85A29-692B-4205-9CAD-2626E4993404}
HKCR\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}
HKCR\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0
HKCR\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0\0
HKCR\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0\0\win32
HKCR\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0\FLAGS
HKCR\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0\HELPDIR

Adware.ToolBar888
HKLM\Software\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}\InprocServer32
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}\InprocServer32#ThreadingModel
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}\ProgID
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}\Programmable
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}\TypeLib
HKCR\CLSID\{C004DEC2-2623-438E-9CA2-C9043AB28508}\VersionIndependentProgID
C:\PROGRAMME\GEMEINSAME DATEIEN\{320E14E8-02EF-1031-1105-990002030031}\888.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKCR\LuckyToolBar.LuckyToolBarObj.1
HKCR\LuckyToolBar.LuckyToolBarObj.1\CLSID
HKCR\LuckyToolBar.LuckyToolBarObj
HKCR\LuckyToolBar.LuckyToolBarObj\CLSID
HKCR\LuckyToolBar.LuckyToolBarObj\CurVer
HKCR\TypeLib\{ED0FB633-C311-4bcd-824A-4D345386BE64}
HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}
HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0
HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0
HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0\win32
HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\FLAGS
HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\HELPDIR
HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}
HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\ProxyStubClsid
HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\ProxyStubClsid32
HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\TypeLib
HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\TypeLib#Version
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\888Bar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\888Bar#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\888Bar#UninstallString

Adware.MyWay
HKCR\CLSID\{014DA6C9-189F-421A-88CD-07CFE51CFF10}
HKCR\CLSID\{014DA6C9-189F-421A-88CD-07CFE51CFF10}\InprocServer32

Browser Hijacker.BestSafetyGuide
HKCR\CLSID\{755BBD1A-AA59-456C-AFEB-B4C42C4DCB6F}
HKCR\CLSID\{755BBD1A-AA59-456C-AFEB-B4C42C4DCB6F}\InprocServer32
HKCR\CLSID\{755BBD1A-AA59-456C-AFEB-B4C42C4DCB6F}\InprocServer32#ThreadingModel

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#BPTV
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#PSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#BSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#SSTV

Adware.Avenue Media/Internet Optimizer
HKU\S-1-5-21-1292428093-1682526488-1708537768-1004\Software\Microsoft\Internet Explorer\URLSearchHooks#_{CFBFAE00-17A6-11D0-99CB-00C04FD64497}

Adware.ClickSpring/Yazzle
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin#UninstallString
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#UninstallString
C:\PROGRAMME\GEMEINSAME DATEIEN\YAZZLE1162OINADMIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\YAZZLE1162OINUNINSTALLER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\YAZZLE1122OINADMIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\YAZZLE1122OINUNINSTALLER.EXE

Adware.IPWins
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IpWins
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IpWins#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IpWins#UninstallString

Trojan.Downloader-PATDUM
C:\WINDOWS\SYSTEM32\KHHGE.DLL
C:\VUNDOFIX BACKUPS\PMNKH.DLL.BAD

Trojan.Downloader-DRVSAM
C:\WINDOWS\SYSTEM32\DRVWAD.DLL

Adware.888Toolbar/Installer
C:\PROGRAMME\GEMEINSAME DATEIEN\{320E14E8-02EF-1031-1105-990002030031}\ACTIVATE.EXE
Seitenanfang Seitenende
22.11.2006, 22:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 sleepy05

wende den avenger an, dann poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2006, 11:22
Member

Beiträge: 27
#11 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS\SYSTEM32

23.11.2006 11:18 4.188 ikhcore.log
22.11.2006 18:08 0 tmp.txt
22.11.2006 18:08 1.694 tmp.reg
22.11.2006 17:37 72.566 MobileSidewalkRON_2.ico
17.11.2006 15:17 43.520 CmdLineExt03.dll
17.11.2006 15:06 2.184 wpa.dbl
29.10.2006 12:21 135.664 FNTCACHE.DAT
14.10.2006 23:03 176.167 rmoc3260.dll
14.10.2006 23:03 5.632 pndx5032.dll
14.10.2006 23:03 6.656 pndx5016.dll
14.10.2006 23:03 278.528 pncrt.dll
21.09.2006 15:39 23.148 Atmdeuxx.GID
21.09.2006 15:39 22 ati64hlp.stb
20.09.2006 21:18 22 ati64hl2.stb
19.09.2006 20:47 17.212 SIntf32.dll
19.09.2006 20:47 21.840 SIntfNT.dll
19.09.2006 20:47 12.067 SIntf16.dll
09.08.2006 21:40 384.546 perfh007.dat
09.08.2006 21:40 61.294 perfc007.dat
09.08.2006 21:40 50.668 perfc009.dat
09.08.2006 21:40 374.200 perfh009.dat
09.08.2006 21:40 879.678 PerfStringBackup.INI
09.08.2006 21:36 88 NULL
09.08.2006 21:27 16.832 amcompat.tlb
09.08.2006 21:27 23.392 nscompat.tlb
08.08.2006 12:54 25.065 wmpscheme.xml
07.08.2006 18:18 3.183 $winnt$.inf
07.08.2006 18:10 3.279 CONFIG.NT
07.08.2006 18:10 2.218 AUTOEXEC.NT
07.08.2006 18:06 488 logonui.exe.manifest
07.08.2006 18:06 488 WindowsLogon.manifest
07.08.2006 18:06 749 ncpa.cpl.manifest
07.08.2006 18:06 749 cdplayer.exe.manifest
07.08.2006 18:06 749 nwc.cpl.manifest
07.08.2006 18:06 749 wuaucpl.cpl.manifest
07.08.2006 18:06 749 sapi.cpl.manifest
07.08.2006 18:02 21.740 emptyregdb.dat
07.08.2006 17:57 0 h323log.txt
06.08.2006 15:49 24.848 msdart32.dll
06.08.2006 15:49 33.040 dbmsspxn.dll
06.08.2006 15:49 28.944 dbmssocn.dll
06.08.2006 15:49 119.056 sqlstr.dll
06.08.2006 15:46 4.368 enhsig.dll
06.08.2006 15:46 6.144 mscrlrev.dll
06.08.2006 15:46 7.168 updcrl.exe
06.08.2006 14:25 13.085 folder.htt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\DOKUME~1\CA46E~1.LAN\LOKALE~1\Temp

23.11.2006 11:18 4 abc123.pid
23.11.2006 01:19 16.384 ~DFA933.tmp
23.11.2006 01:19 16.384 ~DFAF9D.tmp
22.11.2006 22:57 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15923.html
22.11.2006 19:13 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}5127.html

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS

23.11.2006 11:18 0 0.log
23.11.2006 11:18 2.048 bootstat.dat
23.11.2006 11:16 32.556 SchedLog.Txt
22.11.2006 18:53 50 wiaservc.log
22.11.2006 18:53 216 wiadebug.log
22.11.2006 18:09 84.740 ntbtlog.txt
22.11.2006 10:44 3.407 mozver.dat
22.11.2006 10:01 1.629 win.ini
22.11.2006 10:01 410 system.ini
22.11.2006 09:53 395.636 setupapi.log
21.11.2006 21:06 56.344 wmsetup.log
20.11.2006 23:53 69 NeroDigital.ini
20.11.2006 20:49 191 uno.ini
01.11.2006 18:01 54.156 QTFont.qfn
20.10.2006 15:12 77.942 DirectX.log
15.10.2006 12:07 1.409 QTFont.for
12.10.2006 18:28 59.655 iis6.log
12.10.2006 18:28 17.734 comsetup.log
12.10.2006 18:28 9.260 ntdtcsetup.log
12.10.2006 18:28 14.893 tsoc.log
12.10.2006 18:28 1.943 imsins.log
12.10.2006 18:28 1.725 ocmsn.log
12.10.2006 18:28 1.249 msgsocm.log
12.10.2006 18:28 17.868 ocgen.log
12.10.2006 18:28 23.912 FaxSetup.log
12.10.2006 18:28 12.320 msmqinst.log
24.09.2006 22:56 33.894 DIIUnin.dat
19.09.2006 20:44 2.829 DIIUnin.pif
19.09.2006 20:44 102.400 DIIUnin.exe
06.09.2006 18:22 706.946 setuplog.txt
14.08.2006 19:52 584 EventSystem.log
11.08.2006 00:20 8.192 REGULOCS.OLD
10.08.2006 22:16 234 wmsetup10.log
09.08.2006 22:21 1.440 COM+.log
09.08.2006 21:26 316.640 WMSysPr9.prx
09.08.2006 16:04 743 ODBC.INI
08.08.2006 16:42 357 nsw.log
08.08.2006 15:58 1.246 Windows Update.log
08.08.2006 15:54 205 WinInit.INI
08.08.2006 12:54 1.981 OEWABLog.txt
08.08.2006 10:57 20.480 REGCARDS.OLD
07.08.2006 18:20 8.192 REGLOCS.OLD
07.08.2006 18:19 821 setuperr.log
07.08.2006 18:19 4.454 imsins.BAK
07.08.2006 18:19 208.447 setupact.log
07.08.2006 18:11 403 commigrate.log
07.08.2006 18:10 264 desktop.ini
07.08.2006 18:10 57 control.ini
07.08.2006 18:09 299.552 WMSysPrx.prx
07.08.2006 18:08 4.161 ODBCINST.INI
07.08.2006 18:06 749 WindowsShell.Manifest
07.08.2006 18:03 1.060 sessmgr.setup.log
07.08.2006 18:02 36 vb.ini
07.08.2006 18:02 37 vbaddin.ini
07.08.2006 18:01 128 DtcInstall.log
07.08.2006 17:53 1.740 regopt.log
07.08.2006 17:42 60 POWERPNT.INI
07.08.2006 17:42 54 WAVEMIX.INI
07.08.2006 17:42 149 wsdu.log
07.08.2006 17:42 11.331 WINNT32.LOG
07.08.2006 17:41 5.727 upgrade.txt
07.08.2006 17:41 6.285 upgrade.htm
07.08.2006 17:07 12.498 config.dmp
07.08.2006 17:05 302 mqw9xmig.log
07.08.2006 16:55 12 DOSSTART.BAT
07.08.2006 16:55 0 DOSSTART.TTZ
07.08.2006 16:55 1.683 AVSNDSYS.INI
07.08.2006 16:55 0 NDISLOG.TXT
06.08.2006 19:41 2.981 ttfCache
06.08.2006 16:03 19.494 brndlog.txt
06.08.2006 16:00 53.028 dasetup.log
06.08.2006 16:00 233 brndlog.bak
06.08.2006 15:49 3.826 WININIT.BAK
06.08.2006 15:47 103.307 IE Setup Log.Txt
06.08.2006 15:25 16.384 MSIMGSIZ.DAT
06.08.2006 15:25 32 EdLog.dat
06.08.2006 15:17 72 MODEMDET.TXT
06.08.2006 14:40 0 Sti_Trace.log
06.08.2006 14:26 225 TELEPHON.INI
06.08.2006 14:26 74.126 Default.sfc
06.08.2006 14:25 155.680 HWINFO.DAT
06.08.2006 14:25 13.085 folder.htt
06.08.2006 14:24 86 SYSTEM.CB
06.08.2006 14:23 0 progman.ini
06.08.2006 14:03 120 PROTOCOL.INI
06.08.2006 13:40 28 QTW.INI
06.08.2006 13:40 26 MSOFFICE.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS\TEMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.08.2006 18:06 65 desktop.ini
22.06.2006 11:41 5.032 swflash.inf
01.06.2004 14:41 853 yinst.inf
01.06.2004 14:36 141.312 yinsthelper.dll
03.06.2002 17:53 144 QTPlugin.inf
16.04.1999 04:30 562 Internet Explorer Classes for Java.osd
05.11.1998 16:11 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
8 Datei(en) 149.827 Bytes
0 Verzeichnis(se), 5.810.536.448 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\

23.11.2006 11:22 0 sys.txt
23.11.2006 11:21 712 down.txt
23.11.2006 11:21 117 tmp.txt
23.11.2006 11:21 8.617 system.txt
23.11.2006 11:20 640 systemtemp.txt
23.11.2006 11:20 106.527 system32.txt
23.11.2006 11:18 12.022 avenger.txt
23.11.2006 11:18 402.182.144 hiberfil.sys
23.11.2006 11:18 201.326.592 pagefile.sys
22.11.2006 18:08 890 rapport.txt
22.11.2006 17:54 601 VundoFix.txt
22.11.2006 17:51 1.377 vm404.log
22.11.2006 11:26 12.076 ComboFix.txt
22.11.2006 10:01 200 boot.ini
20.10.2006 15:18 173 debugInstaller.txt
15.10.2006 11:38 488 inst_annw_2006_08-09.log
10.09.2006 11:37 22.903 SDSSetup.log
09.08.2006 21:37 602 TO_InstallLog.txt
08.08.2006 11:08 88 ToCaclLg.txt
07.08.2006 17:42 134 AUTOEXEC.TTZ
07.08.2006 17:42 164 AUTOEXEC.BAT
07.08.2006 17:41 512 BOOTSECT.DOS
06.08.2006 19:13 2.274 TDSLCheck.txt
06.08.2006 15:35 222 SETUPXLG.TXT
06.08.2006 15:30 240 PCcheck.LOG
06.08.2006 14:26 100 CONFIG.SYS
06.08.2006 14:04 1.676 MSDOS.SYS
06.08.2006 14:00 1.011 FRUNLOG.TXT

ok hier sind sie ^^
Seitenanfang Seitenende
23.11.2006, 11:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 sleepy05

Avenger
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\SYSTEM32\MobileSidewalkRON_2.ico
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\abc123.pid
poste das log vom avenger, was nach neustart erscheint

**
dann scanne mit panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2006, 12:26
Member

Beiträge: 27
#13 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jmvlkjmo

*******************

Script file located at: \??\C:\Program Files\pwkwdigw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\MobileSidewalkRON_2.ico deleted successfully.
File C:\Dokumente und Einstellungen\C. Langer\Lokale Einstellungen\Temp\abc123.pid deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
23.11.2006, 12:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 dann scanne mit panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2006, 12:49
Member

Beiträge: 27
#15 bin grad dabei dauert halt etwas weil der um die 40k files checken muss (grobe schätzung)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: