Security Alert neues Programm und Umleitung bei Explorer

Thema ist geschlossen!
Thema ist geschlossen!
#0
06.11.2006, 12:36
...neu hier

Beiträge: 7
#1 Hab mir wohl was eingefangen
Hijack schreibt:
Logfile of HijackThis v1.99.1
Scan saved at 11:51:44, on 06.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Programme\VidCodecs\isamonitor.exe
C:\Programme\VidCodecs\pmsngr.exe
C:\Programme\VidCodecs\isamini.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\VidCodecs\pmmon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\LFFLER~1\LOKALE~1\Temp\Rar$EX00.750\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - C:\Programme\VidCodecs\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141968564796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141968552640
O21 - SSODL: detachments - {01d8d081-0f76-4ab5-b5e4-9b23a709670e} - C:\WINNT\system32\sacskza.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


Was kann ich machen
bin absoluter Laie
Dieser Beitrag wurde am 06.11.2006 um 14:01 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.11.2006, 13:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 barnygeroell

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EMediaCodek.Chl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PlayVideoEnchancer.chl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VidCodecs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VidCodecs
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters

Files to delete:
C:\WINDOWS\system32\sacskza.dll

Folders to delete:
C:\Programme\VidCodecs
C:\Programme\VirusBursters
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb



««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2006, 17:26
...neu hier

Themenstarter

Beiträge: 7
#3 avenger hat einwandfrei geklappt
nur smidfrauffix will sich net öffnen lassen sagt da fehlt was bei doopelklick auf xxx.cmd
wie mus ich da vorgehen?

vorab danke für die schnelle hilfe
desweiteren verliert der Ie nach ca 5 jin die verbindung ins Inet mus dan wieder neu starten udn dann ghets wiedr weiter
gilt auch für Firefox
Dieser Beitrag wurde am 06.11.2006 um 21:09 Uhr von barnygeroell editiert.
Seitenanfang Seitenende
07.11.2006, 00:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
ueberpruefe die einstellungen vom Zonealarm, falls notwendig , mal dekativieren.

2.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.11.2006, 07:07
...neu hier

Themenstarter

Beiträge: 7
#5 Zonealarm und Antivirguard sind aus trozudem verliert er den Kontakt warum auch immer
so nachtrag
hab Zonealarm mal komplett gelöscht und anscheinend wir die Verbindung un gehalten
klappt schon 25 min :-)

zu 2: der log

SUPERAntiSpyware Scan Log
Generated 11/07/2006 at 06:33 AM

Application Version : 3.3.1020

Core Rules Database Version : 3122
Trace Rules Database Version: 1142

Scan type : Quick Scan
Total Scan Time : 00:08:28

Memory items scanned : 255
Memory Thread detected : 0
Registry items scanned : 566
Registry Thread detected : 4
File items scanned : 7224
File Thread detected : 5

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\löffler\Cookies\löffler@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\löffler\Cookies\löffler@tradedoubler[1].txt
C:\Dokumente und Einstellungen\löffler\Cookies\löffler@as1.falkag[2].txt
C:\Dokumente und Einstellungen\löffler\Cookies\löffler@komtrack[2].txt
C:\Dokumente und Einstellungen\löffler\Cookies\löffler@rambler[2].txt

Trojan.Media-Codec
HKU\S-1-5-21-789336058-1957994488-725345543-1000\Software\Internet Security

Malware.VirusBurst
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alerter 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alerter 2006#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alerter 2006#UninstallString
Dieser Beitrag wurde am 07.11.2006 um 08:35 Uhr von barnygeroell editiert.
Seitenanfang Seitenende
07.11.2006, 10:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
07.11.2006, 15:43
...neu hier

Themenstarter

Beiträge: 7
#7 l”ffler - Di 07.11.2006 15:38:11,00 Service Pack 4
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\l”ffler\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-07 to 2006-11-07 ))))))))))))))))))))))))))))))))))


2006-11-06 18:38 60,416 --a------ C:\WINNT\system32\drivers\rlayppat.sys
2006-11-06 18:38 60,416 --a------ C:\WINNT\system32\drivers\pdmfkadl.sys
2006-10-12 09:26 98,304 -ra------ C:\WINNT\system32\MpvpxSSE.dll
2006-10-12 09:26 32,000 --a------ C:\WINNT\system32\drivers\pixmcvc.sys
2006-10-12 09:26 31,232 --a------ C:\WINNT\system32\drivers\pixmc10c.sys
2006-10-12 09:26 28,060 --a------ C:\WINNT\system32\drivers\pixmc10a.sys
2006-10-12 09:26 28,057 --a------ C:\WINNT\system32\drivers\pixmcva.sys
2006-10-12 09:26 22,652 --a------ C:\WINNT\system32\drivers\pixmc10v.sys
2006-10-12 09:26 21,081 --a------ C:\WINNT\system32\drivers\pixmcvv.sys
2006-10-12 09:26 102,400 -ra------ C:\WINNT\system32\MpvpxX86.dll
2006-10-12 09:26 102,400 -ra------ C:\WINNT\system32\MpvpxMMX.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-07 09:48 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-07 06:27 -------- d-------- C:\Programme\PC Inspector File Recovery
2006-11-07 06:27 -------- d-------- C:\Programme\ANNO 1503
2006-11-07 06:20 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-11-07 06:20 -------- d-------- C:\Programme\SUPERAntiSpyware
2006-11-07 06:20 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-11-07 06:20 -------- d-------- C:\Dokumente und Einstellungen\l”ffler\Anwendungsdaten\SUPERAntiSpyware.com
2006-11-06 21:12 -------- d-------- C:\Programme\CleanUp!
2006-11-06 09:33 -------- d-------- C:\Programme\SpywareHeal
2006-11-06 08:51 -------- d-------- C:\Programme\Avira
2006-10-29 15:15 -------- d---s---- C:\Dokumente und Einstellungen\l”ffler\Anwendungsdaten\Microsoft
2006-10-22 07:38 -------- d-------- C:\Dokumente und Einstellungen\l”ffler\Anwendungsdaten\phonostar-Player
2006-10-22 07:27 -------- d-------- C:\Programme\phonostar
2006-10-12 09:26 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-02 04:09 -------- d-------- C:\Programme\LimeWire
2006-10-01 15:43 -------- d-------- C:\Dokumente und Einstellungen\l”ffler\Anwendungsdaten\LimeWire
2006-09-28 07:46 -------- d-------- C:\Programme\Winamp
2006-09-28 07:45 -------- d-------- C:\Programme\Windows Media Player
2006-09-27 10:46 -------- d-------- C:\Programme\Burn4Free
2006-09-25 16:42 -------- d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2006-09-14 16:38 -------- d-------- C:\Programme\Riva
2006-09-13 07:31 1715776 --a------ C:\WINNT\system32\NTKRNLPA.EXE
2006-09-13 07:31 1693120 --a------ C:\WINNT\system32\NTOSKRNL.EXE
2006-09-06 05:58 1110528 --a------ C:\WINNT\system32\msxml3.dll
2006-08-28 09:44 530192 --a------ C:\WINNT\system32\comctl32.dll
2006-08-25 04:47 129784 --------- C:\WINNT\system32\pxafs.dll
2006-08-25 04:47 115880 --------- C:\WINNT\system32\pxinsi64.exe
2006-08-09 12:41 3082 --a------ C:\WINNT\system32\affv9869p2now.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"PhonostarAgent"="C:\\Programme\\phonostar\\ps_agent.exe"
"PhonostarTimer"="C:\\Programme\\phonostar\\ps_timer.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINNT\\System32\\NvMcTray.dll,NvTaskbarInit"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Syslog"=""
@=""
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:ff,00,00,00
"CDRAutoRun"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: Tue 2006-11-07 15:38:52.96
C:\ComboFix.txt ... 06-11-07 15:38
Seitenanfang Seitenende
07.11.2006, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareHeal

in edit und klicke "Ok".
Notepad wird sich oeffnen - hier posten

2.
Avenger

Zitat

Folders to delete:
C:\Programme\SpywareHeal

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.11.2006, 21:03
...neu hier

Themenstarter

Beiträge: 7
#9 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 07.11.2006 20:47:13 for strings:
; 'spywareheal
spywareheal
spywareheal
spywareheal'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Seitenanfang Seitenende
08.11.2006, 00:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 kopiere in Suche: - SpywareHeal - dann poste den report hier
http://virus-protect.org/artikel/tools/agentransack.html

---------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.11.2006 um 00:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.11.2006, 06:26
...neu hier

Themenstarter

Beiträge: 7
#11 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lmkfqxio

*******************

Script file located at: \??\C:\WINNT\qaudtghd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\SpywareHeal deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Agent Ransack meldet keine Funde mehr
Seitenanfang Seitenende
08.11.2006, 12:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "sheriff.reg" auf dem Desktop doppelklicken. - und mit yes oder ja der Registry beifuegen

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-
dann sollte wieder alles o.k. sein ;)
wenn noch Probleme auftreten sollten - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.11.2006 um 12:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
10.11.2006, 14:05
...neu hier

Themenstarter

Beiträge: 7
#13 alles klar bisher sind noch keine Probleme aufgetreten
nochmals vielen Dank für die umfassende und ausführliche Beratung

Schade das die grossen Unternehmen sowas nicht anbeiten bzw die erkennung entsprechend umschalten
Seitenanfang Seitenende