Critical System Error und System Alert

#0
01.11.2006, 11:32
...neu hier

Beiträge: 3
#1 Hallo,

mich hat die Seuche ebenfalls erwischt. Ich habe es, ohne Erfolg, schon mit Spybot probiert. Jetzt habe ich dank euren Anweisungen die folgenden Log-files erstellt und bitte euch mir zu helfen. Die ständigen Pop-Ups nerven gewaltig.
Da ich User von Opera bin, frage ich mich, ob das löschen der temporären Internet-Dateien vom IE ausreichen, oder ob dieser Virus/Trojaner oder was auch immer sich auch in Opera-Dateien einnistet?
Für eure Hilfe und Infos bin ich euch sehr dankbar.

Log-Files:

Logfile of HijackThis v1.99.1
Scan saved at 10:06:04, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Fingerprint Sensor\ATSwpNav.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\VideoKeyCodec\pmmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Opera\Opera.exe
C:\Programme\VideoKeyCodec\pmsngr.exe
D:\TOOLS\hijackthis\HijackThis.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VideoKeyCodec\isaddon.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\VideoKeyCodec\iesplugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download all by Net Transport - D:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - D:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kwt.tu-cottbus.de
O17 - HKLM\Software\..\Telephony: DomainName = kwt.tu-cottbus.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kwt.tu-cottbus.de
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: ferrateen - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Combofix:
Helge Kaá - 06-11-01 10:15:35,18 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Programme\Opera"

((((((((((((((((((((((((((((((( Files Created from 2006-10-01 to 2006-11-01 ))))))))))))))))))))))))))))))))))


2006-10-30 17:01 106,496 --a------ C:\WINDOWS\system32\rrtcany.dll
2006-10-18 08:55 28,672 -ra------ C:\WINDOWS\system32\EbsWizard.dll
2006-10-18 08:54 7,168 --a------ C:\WINDOWS\system32\akscoinst.dll
2006-10-18 08:54 685,056 --a------ C:\WINDOWS\system32\drivers\hardlock.sys
2006-10-18 08:54 6,656 --a------ C:\WINDOWS\system32\haspvdd.dll
2006-10-18 08:54 47,616 --a------ C:\WINDOWS\system32\drivers\Haspnt.sys
2006-10-18 08:54 383 --a------ C:\WINDOWS\system32\haspdos.sys
2006-10-18 08:54 327,808 --a------ C:\WINDOWS\system32\drivers\akshasp.sys
2006-10-18 08:54 104,576 --a------ C:\WINDOWS\system32\drivers\aksclass.sys
2006-10-18 08:54 100,096 --a------ C:\WINDOWS\system32\drivers\aksusb.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-01 10:15 -------- d-------- C:\Programme\Opera
2006-11-01 09:35 -------- d-------- C:\Programme\VideoKeyCodec
2006-11-01 08:24 -------- d-------- C:\Programme\Google
2006-10-30 17:09 -------- d-------- C:\Programme\VirusBursters
2006-10-30 16:20 41040 --a------ C:\Dokumente und Einstellungen\Helge Kaá\Anwendungsdaten\wklnhst.dat
2006-10-20 16:07 -------- d-------- C:\Dokumente und Einstellungen\Helge Kaá\Anwendungsdaten\Vorabkontrollstile
2006-10-20 16:07 -------- d-------- C:\Dokumente und Einstellungen\Helge Kaá\Anwendungsdaten\Druckstile
2006-10-18 08:54 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-18 08:54 -------- d-------- C:\Programme\KETEK
2006-10-18 07:59 -------- d-------- C:\Dokumente und Einstellungen\Helge Kaá\Anwendungsdaten\AdobeUM
2006-10-12 10:28 -------- d-------- C:\Programme\FluidEXL_Graphics
2006-10-12 10:27 -------- d-------- C:\Dokumente und Einstellungen\Helge Kaá\Anwendungsdaten\Help
2006-10-11 14:48 -------- d-------- C:\Dokumente und Einstellungen\Helge Kaá\Anwendungsdaten\Corel
2006-10-11 14:44 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-10-11 14:42 -------- d-------- C:\Programme\Gemeinsame Dateien\Corel
2006-10-11 14:42 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-11 14:40 -------- d-------- C:\Programme\Corel
2006-09-24 10:59 56 -r-hs---- C:\WINDOWS\system32\257B2499A4.sys
2006-09-24 10:59 10332 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2006-09-24 10:56 -------- d-------- C:\Dokumente und Einstellungen\Helge Kaá\Anwendungsdaten\ArcSoft
2006-09-24 10:47 -------- d-------- C:\Programme\ArcSoft
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"AzMixerSel"="C:\\Programme\\Realtek\\InstallShield\\AzMixerSel.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"AntivirusRegistration"="C:\\Programme\\CA\\Etrust Antivirus\\Register.exe"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"ATSwpNav"="\"C:\\Programme\\Fingerprint Sensor\\ATSwpNav\" -run"
"LaunchAp"="\"C:\\Programme\\Launch Manager\\LaunchAp.exe\""
"HotkeyApp"="\"C:\\Programme\\Launch Manager\\HotkeyApp.exe\""
"CtrlVol"="\"C:\\Programme\\Launch Manager\\CtrlVol.exe\""
"LMgrOSD"="\"C:\\Programme\\Launch Manager\\OSD.exe\""
"Wbutton"="\"C:\\Programme\\Launch Manager\\Wbutton.exe\""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Programme\\Home Cinema\\PowerDVD\\PDVDServ.exe\""
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"InstantOn"="\"C:\\Programme\\CyberLink\\PowerCinema Linux\\ion_install.exe /c \""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{27321538-5739-4aa1-b84c-7d18e4383f1f}"="ferrateen"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\VideoKeyCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\VideoKeyCodec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"ferrateen"="{27321538-5739-4aa1-b84c-7d18e4383f1f}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-01 10:16:14.32
C:\ComboFix.txt ... 06-11-01 10:16

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\

01.11.2006 11:14 0 sys.txt
01.11.2006 11:14 534 down.txt
01.11.2006 11:14 335 tmp.txt
01.11.2006 11:14 11.500 system.txt
01.11.2006 11:13 408 systemtemp.txt
01.11.2006 11:13 108.927 system32.txt
01.11.2006 10:16 8.597 ComboFix.txt
01.11.2006 10:13 1.072.156.672 hiberfil.sys
01.11.2006 10:13 1.610.612.736 pagefile.sys
04.10.2006 09:23 668 datFind.bat
13.08.2006 09:55 114 RVInfo.txt
06.08.2006 13:19 295 pckginst.err
13.06.2006 00:20 13.676.808 GoogleEarthWin.exe
31.03.2006 13:29 0 COMLOG.txt
15.12.2005 16:27 211 boot.ini
19.11.2005 03:20 50 AUTOEXEC.BAT
18.08.2005 18:28 0 IO.SYS
18.08.2005 18:28 0 MSDOS.SYS
18.08.2005 18:28 0 CONFIG.SYS
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
18.03.2004 16:16 2.324.504 ica32t.exe
23 Datei(en) 2.699.206.059 Bytes
0 Verzeichnis(se), 4.763.824.128 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\system32

01.11.2006 08:19 2.206 wpa.dbl
30.10.2006 17:01 106.496 rrtcany.dll
30.10.2006 14:09 382.646 perfh009.dat
30.10.2006 14:09 65.468 perfc007.dat
30.10.2006 14:09 393.706 perfh007.dat
30.10.2006 14:09 54.390 perfc009.dat
30.10.2006 14:09 905.244 PerfStringBackup.INI
18.10.2006 08:54 6.656 haspvdd.dll
18.10.2006 08:54 383 haspdos.sys
18.10.2006 08:54 2.994 CONFIG.NT
12.10.2006 07:05 329.888 FNTCACHE.DAT
04.10.2006 21:03 9.639.336 MRT.exe


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.08.2005 13:30 5.065 swflash.inf
18.08.2005 18:27 65 desktop.ini
02.08.2005 15:48 495 LegitCheckControl.inf
29.06.2005 18:17 227 opuc.inf
26.05.2005 03:19 291 wuweb.inf
09.02.2005 15:54 1.271 erma.inf
6 Datei(en) 7.414 Bytes
0 Verzeichnis(se), 4.763.828.224 Bytes frei


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS

01.11.2006 10:14 4.124 ModemLog_Motorola SM56 Data Fax Modem.txt
01.11.2006 10:14 1.807.977 WindowsUpdate.log
01.11.2006 10:14 0 TempFile
01.11.2006 10:14 539 win.ini
01.11.2006 10:13 0 0.log
01.11.2006 10:13 2.048 bootstat.dat
01.11.2006 10:12 32.622 SchedLgU.Txt
30.10.2006 16:47 116 NeroDigital.ini
30.10.2006 10:20 185 hpbafd.ini
27.10.2006 10:16 402.675 setupapi.log
26.10.2006 15:38 99.810 wmsetup.log
24.10.2006 17:08 215 wiadebug.log
24.10.2006 09:02 50 wiaservc.log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\DOKUME~1\HELGEK~1\LOKALE~1\Temp

01.11.2006 10:49 0 mso1C.tmp
01.11.2006 10:15 16.384 Perflib_Perfdata_b50.dat
01.11.2006 10:14 16.384 Perflib_Perfdata_3c8.dat
3 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 4.763.840.512 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Temp

01.11.2006 10:14 2.048 sqlite_4OP1IEuReiMFHr5
01.11.2006 10:14 0 CLML_AGENT_LOG1.txt
2 Datei(en) 2.048 Bytes
0 Verzeichnis(se), 4.763.828.224 Bytes frei

Gruß,
kassj
Dieser Beitrag wurde am 01.11.2006 um 16:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.11.2006, 16:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

VideoKeyCodec

in edit und klicke "Ok".
Notepad wird sich oeffnen

in: "Enter search strings" (reinschreiben oder reinkopieren)

VirusBursters


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.11.2006, 17:36
...neu hier

Themenstarter

Beiträge: 3
#3 hallo sabina,

vielen dank für die anleitung,
hat bestens geklappt.

viel erfolg beim bekämpfen weiterer, bösartiger schweinereien, wie dieser.

Gruß,
kassj
Seitenanfang Seitenende
02.11.2006, 18:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich habe doch noch garnichts gemacht, warum bedankst du dich ?

2006-11-01 09:35 -------- d-------- C:\Programme\VideoKeyCodec
2006-10-30 17:09 -------- d-------- C:\Programme\VirusBursters
C:\WINDOWS\system32\rrtcany.dll


Avenger http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7b4d79df-9ef0-429d-a0e9-d9b138c6a53b}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VideoKeyCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoKeyCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters

Files to delete:
C:\WINDOWS\system32\rrtcany.dll

Folders to delete:
C:\Programme\VirusBursters
C:\Programme\VideoKeyCodec
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

---------------------------------------------------------------------------
mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.11.2006 um 18:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.11.2006, 16:44
...neu hier

Themenstarter

Beiträge: 3
#5 hallo sabina,
ich habe vorher schon das progrämmchen avenger auf http://virus-protect.org/artikel/spyware/videokeycodec_remove.html und die anleitung zum entfernen gefunden und es selbst ausprobiert.
es hat wunderbar geklappt.
nun werde ich noch dein zitat in avenger pasten und den rest entfernen.
mal schauen was passiert...

danke weiterhin für die mühen.
gruß,
kassj
Seitenanfang Seitenende