Win AntiVirus Pro 2006 - Popups + wiederkehrender Trojan.Dropper

#0
11.11.2006, 12:33
...neu hier

Beiträge: 9
#1 Hallo,
anscheinend wird hier einem sehr sehr gut geholfen bei Viren-Problemen. Ich hoffe und schätze, dass ihr mir auch helfen könnt.
Ein Problem ist das Win AntiVirus Pro 2006- Popup-Fenster, das ich nicht wegbekomme. Habe schon etliche Problemlösungen durchgemacht und ungefähr mehr als 10 Programme runtergeladen die anscheinend helfen sollen, doch ich weiß nie wie damit umgehen.

Zudem bekomme ich von meinem Norton AntiVirus immer wieder eine Viruswarnmeldung Hohes Risiko:
Objektname C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary InternetFiles\Content.IE5\599QI7CH\wlzip32[1].exe
Virenname Trojan.Dropper (aber auch Trojan Horse sehr oft)
Aktion Die Datei konnte nicht repariert werden.

und das dann gleich ein paarmal, ein anderer Trojaner wurde gerade z.b. in "C:\WINDOWS\TEMP\win1B.tmp" gefunden.

SpyBot, Ad-Aware, Norton haben nichts gebracht.
Zudem habe ich folgende Programme installiert, die ich aber meistens nicht verstehe zu bedienen und bis jetzt anscheinend auch nichts gebracht haben:
CleanUp!, BCWipe3.0, Ashampoo PowerUp XP, ArchiCrypt Shredder3, RegistryFix, SpywareBlaster, CCleaner, RegCleaner, VirtumundoGone, Prozess Radar, ProceXp, KillBox, VundoFix.


Habe gelesen, dass ihr wohl ein HijackThis-Logfile benötigt.
Ich kann damit ehrlich gesagt überhaupt nichts anfangen.
Habe HiJackThis im abgesicherten Modus laufen lassen.

Hier das LogFile


Zitat

Logfile of HijackThis v1.99.1
Scan saved at 12:18:21, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programme\Jetico\BCWipe\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141285902093
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Danke für eure Hilfe!
Dieser Beitrag wurde am 11.11.2006 um 12:41 Uhr von Raljohns editiert.
Seitenanfang Seitenende
11.11.2006, 16:17
Member

Beiträge: 3716
#2 hallo, erstell mal das hijackthis logfile im normalen modus!
lad dir weiterhin die filelist.zip runter:
http://members.linzag.net/680262/filelist.zip
bitte auf dem desktop entpacken. dann die filelist.bat anklicken und von jedem monat die letzten 30 tage kopieren.
danach das combofix ausführen und das log ebenfalls hier her:
www.virus-protect.org/artikel/tools/combofix.html - 10k -
Seitenanfang Seitenende
11.11.2006, 19:44
...neu hier

Themenstarter

Beiträge: 9
#3 Hallo virenfinder,

Danke für die Antwort.
Habe mir die filelist.zip nun zum ersten mal runtergeladen un die filelist.bat ausgeführt. Jetzt hab ich eine "filelist.txt" vor mir und frage mich wo ich die letzten 30 Tage von jedem Monat finde. Immerhin seh ich ort in der Liste die Monate von den Jahren 1998. Also von welchem Jahr? ich schätze ja logischerweise 2006, allerdings gibts davon nicht immer 30 Tage jedes Monats und es ist auch nicht jeder Monat dabei.

gruß,
raljohns
Seitenanfang Seitenende
11.11.2006, 20:10
Member

Beiträge: 3716
#4 hallo, die müssten eigendlich geordnet nach datum sein... bitte von jedem verzeichniss die letzten 30 kopieren. und das combofix net vergessen
Seitenanfang Seitenende
11.11.2006, 21:43
...neu hier

Themenstarter

Beiträge: 9
#5

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:36:48, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Google\Gmail Notifier\gnotify.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\RACLE~1\services.exe
C:\Programme\a?sembly\w?crtupd.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
R3 - URLSearchHook: (no name) - {41C20561-CC82-9078-8AFD-B06945A98AC9} - C:\WINDOWS\system32\fiexyftz.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programme\Jetico\BCWipe\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvzed.dll,startup
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sbbd] "C:\PROGRA~1\RACLE~1\services.exe" -vt yazb
O4 - HKCU\..\Run: [Hpl] C:\Programme\a?sembly\w?crtupd.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141285902093
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Zitat

FILELIST.TXT

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\

11.11.2006 19:39 43 filelist.txt
11.11.2006 19:28 3.281 vm404.log
11.11.2006 19:27 352.321.536 pagefile.sys
10.11.2006 22:10 194 boot.ini
10.05.2006 15:58 1.802 wiederhergestelltes Dokument .txt
10.05.2006 15:58 1.751 wiederhergestelltes Dokument.txt
02.03.2006 10:21 47.564 NTDETECT.COM
02.03.2006 10:21 251.184 ntldr
01.03.2006 19:01 0 CONFIG.SYS
01.03.2006 19:01 0 IO.SYS
01.03.2006 19:01 0 MSDOS.SYS
01.03.2006 19:01 0 AUTOEXEC.BAT
29.08.2002 13:00 4.952 bootfont.bin
13 Datei(en) 352.632.307 Bytes
0 Verzeichnis(se), 23.320.506.368 Bytes frei


----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\WINDOWS

11.11.2006 19:28 0 0.log
11.11.2006 19:27 1.830.539 WindowsUpdate.log
11.11.2006 19:27 159 wiadebug.log
11.11.2006 19:27 50 wiaservc.log
11.11.2006 19:27 2.048 bootstat.dat
11.11.2006 16:36 32.618 SchedLgU.Txt
11.11.2006 12:19 732.218 ntbtlog.txt
10.11.2006 23:39 646 win.ini
10.11.2006 23:37 147.241 setupapi.log
10.11.2006 22:25 116 NeroDigital.ini
10.11.2006 22:10 274 system.ini
04.11.2006 23:47 121 GEARInstall.log
04.11.2006 12:06 36.447 wmsetup.log
02.11.2006 21:00 194.725 setupact.log
02.11.2006 21:00 0 setuperr.log
26.10.2006 11:23 212.992 BCUnInstall.exe
24.10.2006 12:40 371 lexstat.ini
22.10.2006 10:46 184.290 comsetup.log
22.10.2006 10:46 110.794 ntdtcsetup.log
22.10.2006 10:46 103.027 iis6.log
22.10.2006 10:46 24.411 ocmsn.log
22.10.2006 10:46 257.698 tsoc.log
22.10.2006 10:46 1.393 imsins.log
22.10.2006 10:46 19.665 KB924191.log
22.10.2006 10:46 336.350 ocgen.log
22.10.2006 10:46 33.099 msgsocm.log
22.10.2006 10:46 659.410 FaxSetup.log
22.10.2006 10:46 41.459 updspapi.log
22.10.2006 10:46 19.476 KB922819.log
22.10.2006 10:46 18.647 KB923414.log


----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\WINDOWS\system

04.08.2004 08:58 146.944 winspool.drv
04.08.2004 08:37 69.632 mmsystem.dll
21.11.2002 14:07 765.952 crlds3d.dll
29.08.2002 13:00 33.744 COMMDLG.DLL
29.08.2002 13:00 2.000 KEYBOARD.DRV
29.08.2002 13:00 13.600 WFWNET.DRV
29.08.2002 13:00 2.176 VGA.DRV
29.08.2002 13:00 9.200 VER.DLL
29.08.2002 13:00 4.048 TIMER.DRV
29.08.2002 13:00 19.200 TAPI.DLL
29.08.2002 13:00 109.504 AVIFILE.DLL
29.08.2002 13:00 5.532 stdole.tlb
29.08.2002 13:00 1.744 SOUND.DRV
29.08.2002 13:00 5.120 SHELL.DLL
29.08.2002 13:00 59.167 setup.inf
29.08.2002 13:00 24.064 OLESVR.DLL
29.08.2002 13:00 82.944 OLECLI.DLL
29.08.2002 13:00 127.104 MSVIDEO.DLL
29.08.2002 13:00 2.032 MOUSE.DRV
29.08.2002 13:00 1.152 MMTASK.TSK
29.08.2002 13:00 3.360 SYSTEM.DRV
29.08.2002 13:00 28.160 MCIWAVE.DRV
29.08.2002 13:00 25.296 MCISEQ.DRV
29.08.2002 13:00 73.760 MCIAVI.DRV
29.08.2002 13:00 9.936 LZEXPAND.DLL
29.08.2002 13:00 70.368 AVICAP.DLL
17.04.1997 18:03 224.768 LFCMP70N.DLL
17.04.1997 14:38 19.968 LFCAL70N.DLL
17.04.1997 14:36 20.480 Lfwpg70n.dll
17.04.1997 14:36 18.944 Lfwfx70n.dll


----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\WINDOWS\system32

11.11.2006 19:39 754.207 hjkmp.ini
11.11.2006 12:27 2 wnsapisv.exe
11.11.2006 12:26 101.888 drvzed.dll
11.11.2006 11:45 8.891 jupdate-1.5.0_09-b03.log
10.11.2006 23:39 0 asfiles.txt
10.11.2006 23:36 2.550 Uninstall.ico
10.11.2006 23:36 1.406 Help.ico
10.11.2006 23:36 30.590 pavas.ico
10.11.2006 21:39 698.679 hjkmp.bak2
10.11.2006 21:31 2.206 wpa.dbl
02.11.2006 13:44 42.174 PUXPPLAT.UND
02.11.2006 13:30 136 1162470621.(null)
02.11.2006 13:10 211 BOOTBAK.INI
02.11.2006 10:35 460.108 hjkmp.bak1
02.11.2006 10:34 692.276 pmkjh.dll
02.11.2006 10:26 29.040 w00a1d3b.dll
02.11.2006 10:26 8.464 sporder.dll
02.11.2006 10:25 40.973 ssqrqqn.dll
02.11.2006 10:24 0 h323log.txt
02.11.2006 10:24 15.872 winowl32.dll
29.10.2006 10:08 401.064 perfh009.dat
29.10.2006 10:08 62.344 perfc009.dat
29.10.2006 10:08 415.470 perfh007.dat
29.10.2006 10:08 74.996 perfc007.dat
29.10.2006 10:08 966.250 PerfStringBackup.INI
26.10.2006 11:24 512.000 BCShExt.dll
26.10.2006 11:23 724.992 BCWipe.dll
25.10.2006 19:15 65.536 QuickTimeVR.qtx
25.10.2006 19:15 49.152 QuickTime.qts
25.10.2006 14:20 131.072 fiexyftz.dll


----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\WINDOWS\Prefetch

11.11.2006 19:39 10.754 FIND.EXE-0EC32F1E.pf
11.11.2006 19:39 10.370 CMD.EXE-087B4001.pf
11.11.2006 19:39 12.682 WINRAR.EXE-3588DFE8.pf
11.11.2006 19:37 15.192 NOTEPAD.EXE-336351A9.pf
11.11.2006 19:36 23.572 HIJACKTHIS.EXE-34BBCBB6.pf
11.11.2006 19:35 14.590 VERCLSID.EXE-3667BD89.pf
11.11.2006 19:35 31.606 ACROBATINFO.EXE-05DAD044.pf
11.11.2006 19:33 19.416 TASKMGR.EXE-20256C55.pf
11.11.2006 19:33 57.982 FIREFOX.EXE-1D57670A.pf
11.11.2006 19:32 75.642 LUCALLBACKPROXY.EXE-0B5F632D.pf
11.11.2006 19:32 44.542 LUCOMS~1.EXE-02DB5950.pf
11.11.2006 19:32 39.246 AUPDATE.EXE-089630E1.pf
11.11.2006 19:31 38.188 RUNDLL32.EXE-132B2031.pf
11.11.2006 19:31 27.320 WMIPRVSE.EXE-28F301A9.pf
11.11.2006 19:30 9.662 WSCNTFY.EXE-1B24F5EB.pf
11.11.2006 19:29 55.206 SERVICES.EXE-03A51764.pf
11.11.2006 19:29 7.012 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
11.11.2006 19:29 36.046 W?CRTUPD.EXE-0006E40C.pf
11.11.2006 19:29 34.372 IPODSERVICE.EXE-233792DA.pf
11.11.2006 19:29 10.606 CTFMON.EXE-0E17969B.pf
11.11.2006 19:29 21.160 WUAUCLT.EXE-399A8E72.pf
11.11.2006 19:29 16.096 RUNDLL32.EXE-455ED366.pf
11.11.2006 19:29 17.674 BCWIPETM.EXE-2CC6FE08.pf
11.11.2006 19:29 9.648 ITUNESHELPER.EXE-08906EB7.pf
11.11.2006 19:29 8.416 QTTASK.EXE-2D7EEF34.pf
11.11.2006 19:29 8.108 CHECKER.EXE-01F78FA4.pf
11.11.2006 19:29 14.954 RUNDLL32.EXE-415F88EC.pf
11.11.2006 19:29 11.716 RUNDLL32.EXE-28BE138C.pf
11.11.2006 19:29 9.586 CFGWIZ.EXE-05969C4A.pf
11.11.2006 19:29 22.708 GNOTIFY.EXE-2B064F15.pf



----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\WINDOWS\tasks

11.11.2006 19:27 6 SA.DAT
07.11.2006 00:00 320 Symantec Drmc.job
03.11.2006 20:46 594 Norton AntiVirus - Meinen Computer prfen - Margarita.job
27.10.2006 16:15 404 1-Klick-Wartung.job
24.10.2006 12:58 276 AppleSoftwareUpdate.job
02.10.2006 11:10 292 Norton SystemWorks One Button Checkup.job
29.08.2002 13:00 65 desktop.ini
7 Datei(en) 1.957 Bytes
0 Verzeichnis(se), 23.320.387.584 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\WINDOWS\Temp

11.11.2006 19:35 944 win67.tmp
11.11.2006 19:33 0 win65.tmp
11.11.2006 19:33 0 win66.tmp
11.11.2006 19:31 0 win64.tmp
11.11.2006 19:31 0 win63.tmp
11.11.2006 19:29 0 win29.tmp
11.11.2006 19:29 0 win28.tmp
11.11.2006 19:27 0 win24.tmp
11.11.2006 19:27 0 win21.tmp
11.11.2006 19:24 0 win20.tmp
11.11.2006 19:24 0 win1E.tmp
11.11.2006 15:05 944 win58.tmp
11.11.2006 15:03 0 win57.tmp
11.11.2006 15:03 0 win56.tmp
11.11.2006 15:01 0 win1C.tmp
11.11.2006 15:01 0 win1B.tmp
11.11.2006 12:49 31.704 win67.tmp.exe
11.11.2006 12:47 31.704 win66.tmp.exe
11.11.2006 12:45 33.156 win65.tmp.exe
11.11.2006 12:42 32.768 win64.tmp.exe
11.11.2006 12:40 32.768 win63.tmp.exe
11.11.2006 12:26 0 win27.tmp
11.11.2006 12:26 0 win26.tmp
11.11.2006 12:26 0 win25.tmp
11.11.2006 12:26 18.652 win23.tmp
11.11.2006 12:26 0 win22.tmp
11.11.2006 12:26 184.689 win20.tmp.exe
11.11.2006 12:26 101.888 mst21.tmp
11.11.2006 12:26 0 win1F.tmp
11.11.2006 12:26 0 win1D.tmp



----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8CE-6486

Verzeichnis von C:\DOKUME~1\MARGAR~1\LOKALE~1\Temp

11.11.2006 19:33 4.295 jusched.log
11.11.2006 15:42 59.964 Adobelm_Cleanup.0001
11.11.2006 15:37 874 java_install_reg.log
11.11.2006 11:45 23.568 java_install.log
11.11.2006 11:43 1.151 jinstall.cfg
11.11.2006 10:17 0 nsy8.tmp
06.11.2006 19:18 122 8A56EAB7.TMP
13.10.2005 04:38 53.248 nsfB.tmp
08.05.2002 17:50 45.056 nsfA.tmp
9 Datei(en) 188.278 Bytes
0 Verzeichnis(se), 23.320.383.488 Bytes frei
Seitenanfang Seitenende
11.11.2006, 21:49
Member

Beiträge: 3716
#6 nun bitte combofix posten.
Seitenanfang Seitenende
11.11.2006, 21:53
...neu hier

Themenstarter

Beiträge: 9
#7

Zitat

Margarita - 06-11-11 21:48:43,37 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Margarita\Desktop"

((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Margarita\Anwendungsdaten\Dxcknwrd.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\w00a1d3b.dll
C:\Programme\Deskbar

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Programme\ASEMBL~1
C:\QooBox\Purity\Programme\RACLE~1
C:\QooBox\Purity\Programme\ASEMBL~1\w?crtupd.exe
C:\QooBox\Purity\Programme\RACLE~1\services.exe
C:\QooBox\Purity\Programme\RACLE~1\?racle


((((((((((((((((((((((((((((((( Files Created from 2006-10-11 to 2006-11-11 ))))))))))))))))))))))))))))))))))


2006-11-11 12:27 2 --a------ C:\WINDOWS\system32\wnsapisv.exe
2006-11-11 12:27 131,072 --a------ C:\WINDOWS\system32\fiexyftz.dll
2006-11-11 12:26 101,888 --a------ C:\WINDOWS\system32\drvzed.dll
2006-11-03 18:33 702,338 ---hs---- C:\WINDOWS\system32\hjkmp.bak2
2006-11-02 13:37 64,384 --a------ C:\WINDOWS\system32\drivers\ACDZone.sys
2006-11-02 13:34 98,304 --a------ C:\WINDOWS\system32\xipopup.dll
2006-11-02 13:34 94,208 --a------ C:\WINDOWS\system32\xislide.dll
2006-11-02 13:34 90,112 --a------ C:\WINDOWS\system32\xipush.dll
2006-11-02 13:34 45,056 --a------ C:\WINDOWS\system32\xitray.dll
2006-11-02 13:34 45,056 --a------ C:\WINDOWS\system32\puxptwks.exe
2006-11-02 13:34 442,368 --a------ C:\WINDOWS\system32\xitabs.dll
2006-11-02 13:34 397,312 --a------ C:\WINDOWS\system32\xisuictl.dll
2006-11-02 13:34 379,624 --a------ C:\WINDOWS\system32\fw8.exe
2006-11-02 13:34 339,968 --a------ C:\WINDOWS\system32\xithreed.dll
2006-11-02 13:34 282,624 --a------ C:\WINDOWS\system32\xitree.dll
2006-11-02 13:34 270,336 --a------ C:\WINDOWS\system32\xirepctl.dll
2006-11-02 13:34 163,840 --a------ C:\WINDOWS\system32\PwrUpCid.dll
2006-11-02 13:34 110,592 --a------ C:\WINDOWS\system32\puxpman2.exe
2006-11-02 13:20 610,304 --a------ C:\WINDOWS\system32\eraser.dll
2006-11-02 13:20 282,624 --a------ C:\WINDOWS\system32\erasext.dll
2006-11-02 13:20 233,472 --a------ C:\WINDOWS\system32\eraserl.exe
2006-11-02 10:35 460,108 ---hs---- C:\WINDOWS\system32\hjkmp.bak1
2006-11-02 10:34 692,276 ---hs---- C:\WINDOWS\system32\pmkjh.dll
2006-11-02 10:26 8,464 --a------ C:\WINDOWS\system32\sporder.dll
2006-11-02 10:25 40,973 ---hs---- C:\WINDOWS\system32\ssqrqqn.dll
2006-11-02 10:24 15,872 --a------ C:\WINDOWS\system32\winowl32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-11 21:49 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-11 21:37 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-11 12:07 -------- d-------- C:\Programme\RegistryFix
2006-11-11 11:59 -------- d-------- C:\Programme\RegCleaner
2006-11-11 11:51 -------- d-------- C:\Programme\SpywareBlaster
2006-11-11 11:45 -------- d-------- C:\Programme\Java
2006-11-10 23:42 -------- d-------- C:\Programme\CCleaner
2006-11-10 23:39 -------- d-------- C:\Programme\WinRAR
2006-11-10 23:39 -------- d-------- C:\Programme\QuickTime
2006-11-10 23:39 -------- d-------- C:\Programme\iTunes
2006-11-10 23:39 -------- d-------- C:\Programme\Internet Explorer
2006-11-10 23:39 -------- d-------- C:\Programme\ICQLite
2006-11-10 23:39 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-11-10 23:39 -------- d-------- C:\Programme\ArchiCryptShredder3
2006-11-10 23:30 -------- d-------- C:\Programme\CleanUp!
2006-11-10 22:29 -------- d-------- C:\Programme\Symantec
2006-11-08 18:37 -------- d-------- C:\Programme\VSAdd-in
2006-11-05 22:49 -------- d-------- C:\Dokumente und Einstellungen\Margarita\Anwendungsdaten\Skype
2006-11-05 17:13 -------- d-------- C:\Programme\Lexmark X1100 Series
2006-11-04 23:46 -------- d-------- C:\Programme\iPod
2006-11-04 23:37 -------- d-------- C:\Programme\Apple Software Update
2006-11-02 23:05 -------- d-------- C:\Programme\Eraser
2006-11-02 20:04 -------- d-------- C:\Programme\Online Services
2006-11-02 20:04 -------- d-------- C:\Programme\MSN Gaming Zone
2006-11-02 13:39 -------- d-------- C:\Dokumente und Einstellungen\Margarita\Anwendungsdaten\ACShredder3
2006-11-02 13:34 -------- d-------- C:\Programme\Ashampoo
2006-11-02 13:23 -------- d-------- C:\Programme\Jetico
2006-11-02 10:25 517 --a------ C:\Programme\Gemeinsame Dateien\hored
2006-11-02 10:19 -------- d-------- C:\Programme\Luxor Amun Rising
2006-11-01 21:00 -------- d-------- C:\Programme\Gamenext
2006-10-31 13:25 -------- d-------- C:\Programme\ICQToolbar
2006-10-29 20:22 -------- d-------- C:\Programme\ReflexiveArcade
2006-10-29 18:23 -------- d-------- C:\Dokumente und Einstellungen\Margarita\Anwendungsdaten\Zylom
2006-10-29 18:23 -------- d-------- C:\Dokumente und Einstellungen\Margarita\Anwendungsdaten\Identities
2006-10-29 18:22 -------- d-------- C:\Programme\Zylom Games
2006-10-26 11:24 512000 --a------ C:\WINDOWS\system32\BCShExt.dll
2006-10-26 11:23 724992 --a------ C:\WINDOWS\system32\BCWipe.dll
2006-10-26 11:23 212992 --a------ C:\WINDOWS\BCUnInstall.exe
2006-10-21 13:28 -------- d-------- C:\Programme\Norton SystemWorks
2006-10-21 13:24 -------- d-------- C:\Dokumente und Einstellungen\Margarita\Anwendungsdaten\Azureus
2006-10-21 13:11 -------- d-------- C:\Programme\Purgatio Pro
2006-09-22 16:38 -------- d-------- C:\Programme\Skype
2006-09-19 15:44 15664 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll
2006-09-15 22:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 22:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-25 13:11 532480 --a------ C:\WINDOWS\system32\Superman Returns.scr
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-06 23:23 64280 --a------ C:\Dokumente und Einstellungen\Margarita\Anwendungsdaten\GDIPFONTCACHEV1.DAT


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"
"Norton SystemWorks"="\"C:\\Programme\\Norton SystemWorks\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"
"WashAndGo - Cleanup of old Backupfiles"="C:\\Programme\\Purgatio Pro\\checker.exe /check"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Sbbd"="\"C:\\PROGRA~1\\RACLE~1\\services.exe\" -vt yazb"
"Hpl"="C:\\Programme\\a?sembly\\w?crtupd.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"nwiz"="nwiz.exe /install"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\\Programme\\Google\\Gmail Notifier\\gnotify.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"BCWipeTM Startup"="\"C:\\Programme\\Jetico\\BCWipe\\BCWipeTM.exe\" startup"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"CTDrive"="rundll32.exe C:\\WINDOWS\\system32\\drvzed.dll,startup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Programme\\Online Services\\kyzeqefib.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Programme\\MSN Gaming Zone\\howyn.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoRecentDocsHistory"=dword:00000001
"NoTrayItemsDisplay"=hex:00,00,00,00
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SoundMan"="SOUNDMAN.EXE"
"Acrobat Assistant 7.0"="\"D:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"CloneDVDElbyDelay"="\"D:\\Programme\\Elaborate Bytes\\CloneDVD\\ElbyCheck.exe\" /L ElbyDelay"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat Speed Launcher.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Acrobat Speed Launcher.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{AC76BA86-1033-F400-7760-000000000002}\\SC_Acrobat.exe "
"item"="Adobe Acrobat Speed Launcher"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Watch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Watch.lnk"
"backup"="C:\\WINDOWS\\pss\\Watch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\DCSERI~1\\Console\\Watch.exe "
"item"="Watch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArchiCrypt Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArchiCrypt Secure D Zone]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArchiCrypt Shredder3]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\atwtusb]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atwtusb"
"hkey"="HKLM"
"command"="atwtusb.exe beta"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeluxeCommunications]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Dxc"
"hkey"="HKLM"
"command"="C:\\Programme\\DeluxeCommunications\\Dxc.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="eraser"
"hkey"="HKCU"
"command"="C:\\Programme\\Eraser\\eraser.exe -hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SCDEmuApp.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SCDEmuApp"
"hkey"="HKLM"
"command"="D:\\Programme\\PowerISO\\SCDEmuApp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winowl32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Margarita.job
C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job
C:\WINDOWS\tasks\Symantec Drmc.job

Completion time: 06-11-11 21:52:35.31
C:\ComboFix.txt ... 06-11-11 21:52
;) Bitte, und Danke!
Seitenanfang Seitenende
12.11.2006, 10:49
Member

Beiträge: 3716
#8 hallo, setze bitte counterspy ein:
http://virus-protect.org/counterspy.html
scanne so lang im abgesicherten modus, bis nichts mehr gefunden wurde. kopiere jeden report hier her!
Seitenanfang Seitenende
12.11.2006, 11:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Raljohns

bitte nicht den Counterspy anwenden

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winowl32
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeluxeCommunications
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin

Files to delete:
C:\WINDOWS\system32\w00a1d3b.dll
C:\WINDOWS\system32\wnsapisv.exe
C:\WINDOWS\system32\drvzed.dll
C:\WINDOWS\system32\hjkmp.ini
C:\WINDOWS\system32\hjkmp.bak2
C:\WINDOWS\system32\hjkmp.bak1
C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system32\ssqrqqn.dll
C:\WINDOWS\system32\winowl32.dll
C:\WINDOWS\system32\fiexyftz.dll
C:\WINDOWS\system32\1162470621.(null)
C:\WINDOWS\Temp\win67.tmp
C:\WINDOWS\Temp\win58.tmp
C:\WINDOWS\Temp\win67.tmp.exe
C:\WINDOWS\Temp\win66.tmp.exe
C:\WINDOWS\Temp\win65.tmp.exe
C:\WINDOWS\Temp\win64.tmp.exe
C:\WINDOWS\Temp\win63.tmp.exe
C:\WINDOWS\Temp\win27.tmp
C:\WINDOWS\Temp\win26.tmp
C:\WINDOWS\Temp\win25.tmp
C:\WINDOWS\Temp\win23.tmp
C:\WINDOWS\Temp\win22.tmp
C:\WINDOWS\Temp\win20.tmp.exe
C:\WINDOWS\Temp\mst21.tmp
C:\Programme\Online Services\kyzeqefib.html

Folders to delete:
C:\Dokumente und Einstellungen\Margarita\Lokale Einstellungen\Temporary InternetFiles\Content.IE5\599QI7CH
C:\Programme\SpywareBlaster
C:\Programme\VSAdd-in
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
poste hier das log vom avenger, was nach neustart erscheint

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
R3 - URLSearchHook: (no name) - {41C20561-CC82-9078-8AFD-B06945A98AC9} - C:\WINDOWS\system32\fiexyftz.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKCU\..\Run: [Sbbd] "C:\PROGRA~1\RACLE~1\services.exe" -vt yazb
O4 - HKCU\..\Run: [Hpl] C:\Programme\a?sembly\w?crtupd.exe

PC neustarten

««
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

**
smitfraudfix anwenden - option 2
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 13:14
...neu hier

Beiträge: 1
#10 Hi.. also ich hab mir auch den WinAntivirus2006 eingefangen.. habe Hijacklog-file erstellt..

meine Firewall meldet immer:
Dateiversion : 1.0.0.1
Dateibeschreibung : Universa Application (win391.tmp.exe)
Dateipfad : C:\WINDOWS\Temp\win391.tmp.exe
Prozess-ID : C64 (Heximal) 3172 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 87.164.234.110
Lokaler Port : 1288
Remote-Name :
Remote-Adresse : 82.98.235.63
Remote-Port : 80 (HTTP - World Wide Web)

Ethernet-Paket-Details:
Ethernet II (Packet Length: 80)
Destination: 01-00-20-00-01-00
Source: 00-00-01-00-00-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x2f66 (Correct)
Source: 87.164.234.110
Destination: 82.98.235.63
Transmission Control Protocol (TCP)
Source port: 1288
Destination port: 80
Sequence number: 3415389790
Acknowledgment number: 0
Header length: 32
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x2d68 (Correct)
Data (0 Bytes)

Binäres Abbild des Pakets:
0000: 01 00 20 00 01 00 00 00 : 01 00 00 00 08 00 45 00 | .. ...........E.
0010: 00 34 14 E0 40 00 80 06 : 66 2F 57 A4 EA 6E 52 62 | .4..@...f/W..nRb
0020: EB 3F 05 08 00 50 CB 92 : B6 5E 00 00 00 00 80 02 | .?...P...^......
0030: FF FF 68 2D 00 00 02 04 : 05 A0 01 03 03 01 01 01 | ..h-............
0040: 04 02 01 03 03 01 01 01 : 04 02 3D 6E 61 76 63 6C | ..........=navcl


naja.. und hier ist das logfile..

Logfile of HijackThis v1.99.1
Scan saved at 13:00:41, on 12.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\win38D.tmp.exe
C:\WINDOWS\TEMP\win38F.tmp.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\TEMP\Rar$EX00.922\HijackThis.exe
C:\WINDOWS\TEMP\win391.tmp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158570684734
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://www.driveragent.com/files/driveragent.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A6F654E-B9C4-453D-BBE0-82389A8E932D}: NameServer = 217.237.150.115 217.237.149.161
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
Seitenanfang Seitenende
12.11.2006, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Marcus32j

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 14:38
...neu hier

Themenstarter

Beiträge: 9
#12 Hallo Sabina,
danke für deine Antwort.

Ich kann im Moment nichts an dem Computer machen, da ich nicht zuhause bin.
Werde wahrscheinlich erst am Wochenende das CleanUp machen können. Dann werde ich alles abarbeiten, herzlichen Dank jedenfalls!

bis später,
Raljohns
Seitenanfang Seitenende
12.11.2006, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Raljohns

arbeite also alles ab, sobald du am PC bist ;) - und poste immer die jeweiligen Logs hier, damit ich den Vorgang der Reinigung mitverfolgen kann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 21:00
...neu hier

Themenstarter

Beiträge: 9
#14 Hallo Sabina, einen schönen Freitag-Abend!
Nun bin ich endlich gottseidank dazu gekommen alles abzuarbeiten.
Hier sind die Logs. Ein Symbol in der Tasksleiste ist verschwunden, das mir immer angezeigt hat, dass mein Pc nicht geschützt sei (rotes Wappen, wie bei Windows-Sicherheitscenter). Ich glaube auch die Popups sind nun weg, kann ich aber noch nicht sagen.

Meinst du der Pc ist nun gereinigt?

Gruß,
Raljohns



Zitat

VundoFix V6.2.8

Checking Java version...

Sun Java not detected
Scan started at 17:25:18 17.11.2006

Listing files found while scanning....

C:\WINDOWS\system32\ssqrqqn.dll
C:\WINDOWS\system32\winowl32.dll
C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\hjkmp.ini
C:\WINDOWS\system32\hjkmp.bak1
C:\WINDOWS\system32\hjkmp.bak2

Beginning removal...

VundoFix V6.2.8

Checking Java version...

Sun Java not detected
Scan started at 17:38:51 17.11.2006

Listing files found while scanning....

C:\WINDOWS\system32\ssqrqqn.dll
C:\WINDOWS\system32\winowl32.dll
C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\hjkmp.ini
C:\WINDOWS\system32\hjkmp.bak1
C:\WINDOWS\system32\hjkmp.bak2

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ssqrqqn.dll
C:\WINDOWS\system32\ssqrqqn.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\winowl32.dll
C:\WINDOWS\system32\winowl32.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\pmkjh.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\hjkmp.ini
C:\WINDOWS\system32\hjkmp.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjkmp.bak1
C:\WINDOWS\system32\hjkmp.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjkmp.bak2
C:\WINDOWS\system32\hjkmp.bak2 Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.2.8

Checking Java version...

Sun Java not detected
Scan started at 17:46:27 17.11.2006

Listing files found while scanning....

C:\WINDOWS\system32\winowl32.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\winowl32.dll
C:\WINDOWS\system32\winowl32.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.2.8

Checking Java version...

Sun Java not detected
Scan started at 18:11:48 17.11.2006

Listing files found while scanning....

C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\hjkmp.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\pmkjh.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\hjkmp.ini
C:\WINDOWS\system32\hjkmp.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\pmkjh.dll Has been deleted!

Performing Repairs to the registry.
Done!

Zitat

SmitFraudFix v2.122

Scan done at 19:32:00,20, 17.11.2006
Run from C:\Dokumente und Einstellungen\Margarita\Desktop\Sicherheits-Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat

SUPERAntiSpyware Scan Log
Generated 11/17/2006 at 08:10 PM

Application Version : 3.3.1020

Core Rules Database Version : 3131
Trace Rules Database Version: 1149

Scan type : Complete Scan
Total Scan Time : 00:25:49

Memory items scanned : 334
Memory Thread detected : 0
Registry items scanned : 5453
Registry Thread detected : 21
File items scanned : 29112
File Thread detected : 21

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@www.drivecleaner[2].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@atwola[2].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@de.drivecleaner[1].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@[2].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@adtech[1].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@rambler[2].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@stats.drivecleaner[2].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@weborama[2].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@drivecleaner[1].txt
C:\Dokumente und Einstellungen\Margarita\Cookies\margarita@2o7[1].txt

Trojan.NetMon/DNSChange
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#DeviceDesc

Trojan.cmdService
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#DeviceDesc

Adware.ClickSpring/Yazzle
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#UninstallString
C:\WINDOWS\PREFETCH\YAZZLE1162OINADMIN.EXE-16F62D22.PF

Adware.ClickSpring
C:\QooBox\Purity\Programme\ASEMBL~1\WCRTUP~1.EXE
C:\QOOBOX\PURITY\PROGRAMME\RACLE~1\SERVICES.EXE
C:\RECYCLER\NPROTECT\00457099.DLL

Trojan.Downloader-BigP
C:\RECYCLER\NPROTECT\00456790.DLL
C:\VUNDOFIX BACKUPS\SSQRQQN.DLL.BAD

Trojan.Downloader-PATDUM
C:\RECYCLER\NPROTECT\00457012.DLL
C:\VUNDOFIX BACKUPS\PMKJH.DLL.BAD

Trojan.Unknown Origin
C:\RECYCLER\NPROTECT\00457117.EXE

Unclassified.SystemPTHelper
C:\WINDOWS\SYSTEM32\MSA2P.EXE
danach in abgesichertem Modus:

Zitat

SUPERAntiSpyware Scan Log
Generated 11/17/2006 at 08:40 PM

Application Version : 3.3.1020

Core Rules Database Version : 3131
Trace Rules Database Version: 1149

Scan type : Complete Scan
Total Scan Time : 00:17:23

Memory items scanned : 173
Memory Thread detected : 0
Registry items scanned : 5451
Registry Thread detected : 0
File items scanned : 7144
File Thread detected : 0
Seitenanfang Seitenende
17.11.2006, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 poste bitte noch mal die 6 logs von datfindbat - bis september 2006 vom datum her
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende