Winantivirus Pro 2006 - Drivecleaner 2006 - Errorsafe

#0
12.11.2006, 09:19
...neu hier

Beiträge: 4
#1 Hallo zusammen
Wahrscheinlich ist dieses Forum noch die letzte Chance den PC meines Schwagers zu retten. Er hat sich da etwas eingefangen (gemacht hat er natürlich nichts.....). Da poppen die ganze Zeit Fenster mit Winantivirus Pro 2006, Drivecleaner 2006 und Errorsafe auf.

Anbei das HijackThis-Log.

Besten Dank im Voraus!


Logfile of HijackThis v1.99.1
Scan saved at 09:14:48, on 12.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\starter.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.0.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sessmgr.exe
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EB856Z\VundoFix[1].exe
C:\Programme\ZipGenius 6\zipgenius.exe
C:\Dokumente und Einstellungen\Lino\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\SYSTEM32\starter.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON CardMonitor.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139757648608
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139757638311
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
Seitenanfang Seitenende
12.11.2006, 10:33
Member

Beiträge: 3716
#2 hallo und willkommen ;-)
lad dir bitte
Combofix:
www.virus-protect.org/artikel/tools/combofix.html - 10k -
bitte log posten.
weiterhin filelist:
http://members.linzag.net/680262/filelist.zip
auf dem desktop entpacken. dann die filelist.bat anklicken. nun öffnet sich dein editor. bitte poste von jedem verzeichniss die jeweils letzten 30 tage.
Seitenanfang Seitenende
12.11.2006, 10:44
...neu hier

Themenstarter

Beiträge: 4
#3 Anbei die gewünschten Informationen.


**************ComboFix-Log ***************

Lino - 06-11-12 10:36:18.62 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Lino\Eigene Dateien"

((((((((((((((((((((((((((((((( Files Created from 2006-10-12 to 2006-11-12 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-12 09:45 -------- d-------- C:\Programme\PowerPacket
2006-11-12 04:02 -------- d-------- C:\Programme\ZipGenius 6
2006-11-12 04:02 -------- d-------- C:\Programme\WinRAR
2006-11-12 03:59 -------- d-------- C:\Programme\Messenger
2006-11-12 03:57 -------- d-------- C:\Programme\Internet Explorer
2006-11-12 03:52 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-11-11 23:57 -------- d-------- C:\Programme\Kaspersky Lab
2006-11-11 23:56 -------- d-------- C:\Programme\kav
2006-11-11 18:52 -------- d-------- C:\Programme\Java
2006-11-03 15:39 -------- d-------- C:\Programme\eMule
2006-11-03 15:28 -------- d-------- C:\Programme\Humax Digital
2006-09-26 20:47 -------- d-------- C:\Programme\GUT 1
2006-09-23 12:05 -------- d-------- C:\Programme\Infogrames
2006-09-23 11:52 -------- d-------- C:\Programme\Hothouse Creations
2006-09-18 20:58 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-18 20:58 -------- d-------- C:\Programme\EPSON
2006-09-17 13:55 76560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"EnsoniqMixer"="C:\\WINDOWS\\SYSTEM32\\starter.exe"
"Disc Detector"="C:\\Programme\\Creative\\ShareDLL\\CtNotify.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\XoftSpy.job

Completion time: 06-11-12 10:37:43.26
C:\ComboFix.txt ... 06-11-12 10:37


**************Filelist ***************


----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\

12.11.2006 10:39 43 filelist.txt
12.11.2006 09:13 186 VundoFix.txt
12.11.2006 09:04 536'399'872 hiberfil.sys
12.11.2006 09:04 805'306'368 pagefile.sys

13 Datei(en) 1'342'010'391 Bytes
0 Verzeichnis(se), 25'654'398'976 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS

12.11.2006 09:05 0 0.log
12.11.2006 09:05 159 wiadebug.log
12.11.2006 09:05 1'383'611 WindowsUpdate.log
12.11.2006 09:05 50 wiaservc.log
12.11.2006 09:05 2'048 bootstat.dat
12.11.2006 09:03 32'618 SchedLgU.Txt
12.11.2006 08:55 69 NeroDigital.ini
12.11.2006 03:29 32 pavsig.txt
12.11.2006 03:29 880'940 setupapi.log
12.11.2006 03:19 658 win.ini
28.10.2006 10:48 82'715 wmsetup.log
28.10.2006 10:13 147'932 iis6.log
28.10.2006 10:13 324'378 comsetup.log
28.10.2006 10:13 1'393 imsins.log
28.10.2006 10:13 12'432 KB924191.log
28.10.2006 10:13 50'817 ocmsn.log
28.10.2006 10:13 197'107 ntdtcsetup.log
28.10.2006 10:13 365'166 tsoc.log
28.10.2006 10:13 47'658 msgsocm.log
28.10.2006 10:13 460'925 ocgen.log
28.10.2006 10:13 939'500 FaxSetup.log
28.10.2006 10:13 46'507 updspapi.log
28.10.2006 10:13 1'393 imsins.BAK
28.10.2006 10:13 12'246 KB922819.log
28.10.2006 10:13 11'423 KB923414.log
28.10.2006 10:13 11'415 KB924496.log
28.10.2006 10:13 8'749 KB923191.log

186 Datei(en) 17'138'883 Bytes
0 Verzeichnis(se), 25'654'386'688 Bytes frei

----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\system

04.08.2004 08:58 146'944 winspool.drv
04.08.2004 08:37 69'632 mmsystem.dll

26 Datei(en) 989'179 Bytes
0 Verzeichnis(se), 25'654'390'784 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\system32

12.11.2006 09:06 2'206 wpa.dbl
12.11.2006 03:28 2'550 Uninstall.ico
12.11.2006 03:28 1'406 Help.ico
12.11.2006 03:28 30'590 pavas.ico
12.11.2006 03:19 0 asfiles.txt
12.11.2006 03:09 27'006 spy.ico
11.11.2006 18:52 8'891 jupdate-1.5.0_09-b03.log
29.10.2006 09:06 40'632 perfc009.dat
29.10.2006 09:06 312'628 perfh009.dat
29.10.2006 09:06 318'280 perfh007.dat
29.10.2006 09:06 49'008 perfc007.dat
29.10.2006 09:06 727'252 PerfStringBackup.INI

2046 Datei(en) 413'454'509 Bytes
0 Verzeichnis(se), 25'654'206'464 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\Prefetch

12.11.2006 10:39 11'150 FIND.EXE-0EC32F1E.pf
12.11.2006 10:39 65'072 ZIPGENIUS.EXE-39E5CEC6.pf
12.11.2006 10:38 20'358 CMD.EXE-087B4001.pf
12.11.2006 10:38 9'774 NIRCMD.EXE-22AC7776.pf
12.11.2006 10:38 12'986 NIRCMD.EXE-1FB8FB94.pf
12.11.2006 10:38 15'306 NOTEPAD.EXE-336351A9.pf
12.11.2006 10:37 14'030 REGEDIT.EXE-1B606482.pf
12.11.2006 10:37 14'060 VERCLSID.EXE-3667BD89.pf
12.11.2006 10:37 9'000 SWREG.EXE-3530D480.pf
12.11.2006 10:37 10'602 SORT.EXE-194AE83C.pf
12.11.2006 10:37 8'138 COMBOFIX.EXE-36397029.pf
12.11.2006 10:37 6'006 CHCP.COM-18156052.pf
12.11.2006 10:37 11'078 SC.EXE-2DC19A59.pf
12.11.2006 10:36 14'550 FINDSTR.EXE-0CA6274B.pf
12.11.2006 10:36 16'862 SWREG.EXE-298CB0F2.pf
12.11.2006 10:36 8'348 COMBOFIX.EXE-0E0C7164.pf
12.11.2006 10:36 9'226 SWREG.EXE-1ECB176D.pf
12.11.2006 10:36 9'082 NIRCMD.EXE-2706B6C0.pf
12.11.2006 10:12 422'392 Layout.ini
12.11.2006 09:41 137'610 IEXPLORE.EXE-2CA9778D.pf
12.11.2006 09:11 16'922 GUARDGUI.EXE-1BD45C30.pf
12.11.2006 09:06 63'120 WUAUCLT.EXE-399A8E72.pf
12.11.2006 09:06 53'840 WMIPRVSE.EXE-28F301A9.pf
12.11.2006 09:06 46'528 WGATRAY.EXE-0ED38BED.pf
12.11.2006 09:06 22'190 ALG.EXE-0F138680.pf
12.11.2006 09:06 34'886 IMAPI.EXE-0BF740A4.pf
12.11.2006 09:06 24'452 SESSMGR.EXE-25E7D5E1.pf
12.11.2006 09:06 9'640 WSCNTFY.EXE-1B24F5EB.pf
12.11.2006 09:06 765'282 NTOSBOOT-B00DFAAD.pf
12.11.2006 09:03 21'094 LOGONUI.EXE-0AF22957.pf
12.11.2006 09:01 29'132 MSIEXEC.EXE-2F8A8CAE.pf
12.11.2006 08:06 16'652 TASKMGR.EXE-20256C55.pf
12.11.2006 08:02 12'978 STARTER.EXE-17DDB66A.pf
12.11.2006 07:49 67'468 FTPG.EXE-1AD8D982.pf
12.11.2006 07:46 22'994 MSMSGS.EXE-32066BA5.pf
12.11.2006 07:46 24'968 CTNOTIFY.EXE-349FAB7A.pf
12.11.2006 07:46 9'552 JUSCHED.EXE-19D14246.pf
12.11.2006 07:46 37'032 AVGNT.EXE-36CA4640.pf
12.11.2006 07:46 22'412 RUNDLL32.EXE-1EFB9777.pf
12.11.2006 07:46 142'384 EXPLORER.EXE-082F38A9.pf
12.11.2006 07:46 41'936 USERINIT.EXE-30B18140.pf
12.11.2006 07:46 7'464 NEROCHECK.EXE-092C6DFA.pf
11.11.2006 18:41 19'314 SCHED.EXE-236A886F.pf
11.11.2006 18:40 61'648 AVNOTIFY.EXE-22AE9451.pf
11.11.2006 18:40 44'980 UPDATE.EXE-13D57D76.pf
11.11.2006 18:40 13'420 PREUPD.EXE-358AA1C1.pf
09.11.2006 12:20 11'770 SSTEXT3D.SCR-17B3B9DD.pf
09.11.2006 12:12 69'328 MSNMSGR.EXE-091111D0.pf
08.11.2006 08:56 64'372 WMPLAYER.EXE-09969338.pf
49 Datei(en) 2'603'388 Bytes
0 Verzeichnis(se), 25'654'284'288 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\tasks

12.11.2006 09:05 6 SA.DAT
12.11.2006 08:03 282 XoftSpy.job

3 Datei(en) 353 Bytes
0 Verzeichnis(se), 25'654'284'288 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\Temp


----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\DOKUME~1\Lino\LOKALE~1\Temp

12.11.2006 09:06 32'768 ~DF5CD3.tmp
1 Datei(en) 32'768 Bytes
0 Verzeichnis(se), 25'654'284'288 Bytes frei
Seitenanfang Seitenende
12.11.2006, 11:02
Member

Beiträge: 3716
#4 hallo, führe counterspy nach dieser anleitung durch, im abgesicherten modus, bis nichts mehr gefunden wird! poste jedes log!
http://virus-protect.org/counterspy.html
Seitenanfang Seitenende
12.11.2006, 12:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Snoboy

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Startmenü\Programme" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 12:21
...neu hier

Themenstarter

Beiträge: 4
#6 Nach dem zweiten Scan wurden keine Spyware mehr erkannt.
Es erscheint jedoch trotzdem das Popup Winantivirus Pro 2006.

**************CounterSpy Scan************

Spyware Scan Details
Start Date: 12.11.2006 11:26:54
End Date: 12.11.2006 11:47:46
Total Time: 20 mins 52 secs

Detected spyware

ClickBank Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\lino\cookies\lino@clickbank[2].txt


Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\lino\cookies\lino@mediaplex[1].txt


Real Spy Monitor Build 2.18 Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\lino\cookies\lino@www.regnow[2].txt


***************Inhalt von Files.txt***************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Windows\System32\Com

21.03.2006 18:08 <DIR> .
21.03.2006 18:08 <DIR> ..
26.07.2005 05:39 195'072 comadmin.dll
18.08.2001 15:00 61'440 comempty.dat
18.08.2001 15:00 77'348 comexp.msc
04.08.2004 08:57 9'728 comrepl.exe
18.08.2001 15:00 5'120 comrereg.exe
18.08.2001 15:00 19'456 mtsadmin.tlb
6 Datei(en) 368'164 Bytes
2 Verzeichnis(se), 25'575'985'152 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Windows\system32\config

12.11.2006 04:13 <DIR> .
12.11.2006 04:13 <DIR> ..
12.11.2006 12:17 524'288 AppEvent.Evt
12.11.2006 11:23 524'288 default
12.02.2006 16:43 94'208 default.sav
12.11.2006 12:17 28'672 SAM
12.11.2006 12:17 524'288 SecEvent.Evt
12.11.2006 12:17 45'056 SECURITY
12.11.2006 12:17 15'204'352 software
12.02.2006 16:43 610'304 software.sav
12.11.2006 12:17 524'288 SysEvent.Evt
12.11.2006 12:18 6'291'456 system
12.02.2006 16:43 393'216 system.sav
26.09.2006 20:47 <DIR> systemprofile
12.02.2006 16:43 262'144 userdiff
12 Datei(en) 25'026'560 Bytes
3 Verzeichnis(se), 25'575'981'056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.08.2006 08:28 141'424 asinst.dll
22.08.2006 09:06 537 asinst.inf
08.12.2005 12:46 1'271 erma.inf
08.08.2006 11:45 576 kavwebscan.inf
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 00:26 113'664 MsnMessengerSetupDownloader.ocx
26.05.2005 04:19 293 muweb.inf
22.06.2006 10:41 5'032 swflash.inf
26.05.2005 04:19 291 wuweb.inf
9 Datei(en) 263'315 Bytes
0 Verzeichnis(se), 25'575'981'056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Dokumente und Einstellungen\Lino

01.10.2006 16:20 <DIR> .
01.10.2006 16:20 <DIR> ..
13.05.2006 18:08 <DIR> .housecall
11.11.2006 20:50 <DIR> .housecall6.6
12.11.2006 12:19 <DIR> Desktop
12.11.2006 10:39 <DIR> Eigene Dateien
17.09.2006 21:11 <DIR> Favoriten
27.05.2006 10:50 <DIR> Local Settings
12.11.2006 12:19 3'407'872 ntuser.dat
12.02.2006 15:44 <DIR> Startmen
28.05.2006 12:16 <DIR> WINDOWS
1 Datei(en) 3'407'872 Bytes
10 Verzeichnis(se), 25'575'981'056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Program Files

25.06.2006 11:22 <DIR> .
25.06.2006 11:22 <DIR> ..
05.09.2006 17:28 <DIR> PCFriendly
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 25'575'981'056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Temp

12.11.2006 12:19 <DIR> .
12.11.2006 12:19 <DIR> ..
12.11.2006 10:38 <DIR> .cleanup.tmp
12.02.2006 17:52 <DIR> Adobe
11.11.2006 18:41 <DIR> CDM
11.11.2006 20:57 <DIR> hsperfdata_Lino
11.11.2006 21:01 <DIR> KAV Updater update files
28.05.2006 12:53 <DIR> mgxgroups
28.05.2006 12:53 <DIR> mgxlicense
03.11.2006 21:51 <DIR> msoclip1
12.11.2006 10:38 <DIR> msxmlwr
12.11.2006 10:38 <DIR> nsk6.tmp
11.11.2006 22:28 <DIR> Online Scanner mail files
05.06.2006 12:58 <DIR> Picasa2
29.05.2006 17:11 <DIR> VBE
12.11.2006 10:38 <DIR> WER16bd.dir00
12.02.2006 18:35 <DIR> WZSE0.TMP
12.11.2006 11:52 <DIR> ZGTemp
12.11.2006 10:38 <DIR> _AS13.tmp
12.11.2006 10:38 <DIR> _ASF5.tmp
12.02.2006 16:53 <DIR> _ISTMP1.DIR
12.11.2006 10:38 <DIR> {4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}
12.11.2006 10:38 <DIR> {9984df60-1c5b-11d3-aca1-908a4fc10801}
12.11.2006 11:25 32'768 ~DF34F9.tmp
12.11.2006 11:26 1'212'416 ~DF3E07.tmp
12.11.2006 11:25 49'152 ~DF3E4C.tmp
12.11.2006 09:06 32'768 ~DF5CD3.tmp
12.11.2006 11:25 16'384 ~DF671E.tmp
12.11.2006 12:19 32'768 ~DF9671.tmp
12.11.2006 12:18 49'152 ~DF9B7B.tmp
12.11.2006 12:18 16'384 ~DFFAAA.tmp
12.11.2006 09:04 <DIR> ~nsu.tmp
8 Datei(en) 1'441'792 Bytes
24 Verzeichnis(se), 25'575'976'960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\WINDOWS\Temp

12.11.2006 12:19 <DIR> .
12.11.2006 12:19 <DIR> ..
12.11.2006 03:29 <DIR> ASHeuristic
12.11.2006 12:18 255 WGAErrLog.txt
12.11.2006 12:19 409 WGANotify.settings
23.09.2006 11:53 <DIR> _ISTMP0.DIR
2 Datei(en) 664 Bytes
4 Verzeichnis(se), 25'575'976'960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Programme

12.11.2006 11:22 <DIR> .
12.11.2006 11:22 <DIR> ..
12.02.2006 17:52 <DIR> Adobe
25.06.2006 09:03 <DIR> Ahead
12.11.2006 03:52 <DIR> AntiVir PersonalEdition Classic
12.02.2006 15:52 <DIR> ComPlus Applications
12.02.2006 16:53 <DIR> Creative
12.02.2006 16:11 <DIR> CyberLink
02.04.2006 13:08 <DIR> DuoLabs
03.11.2006 15:39 <DIR> eMule
18.09.2006 20:58 <DIR> EPSON
25.06.2006 09:02 <DIR> Gemeinsame Dateien
26.09.2006 20:47 <DIR> GUT 1
23.09.2006 11:52 <DIR> Hothouse Creations
08.08.2006 12:05 <DIR> HotTVPlayer
03.11.2006 15:28 <DIR> Humax Digital
23.09.2006 12:05 <DIR> Infogrames
12.02.2006 16:50 <DIR> Intel
12.11.2006 03:57 <DIR> Internet Explorer
11.11.2006 18:52 <DIR> Java
11.11.2006 23:57 <DIR> Kaspersky Lab
11.11.2006 23:56 <DIR> kav
03.09.2006 17:49 <DIR> mathbuch
12.11.2006 03:59 <DIR> Messenger
12.02.2006 15:55 <DIR> microsoft frontpage
12.02.2006 17:24 <DIR> Microsoft Office
12.02.2006 18:27 <DIR> Movie Maker
20.03.2006 18:57 <DIR> MSN
12.02.2006 15:51 <DIR> MSN Gaming Zone
20.03.2006 19:39 <DIR> MSN Messenger
02.07.2006 21:32 <DIR> MTuxvision
12.02.2006 18:25 <DIR> NetMeeting
12.02.2006 15:51 <DIR> Online Services
12.02.2006 15:54 <DIR> Online-Dienste
13.05.2006 17:12 <DIR> Outlook Express
07.06.2006 11:43 <DIR> Picasa2
12.11.2006 09:45 <DIR> PowerPacket
12.11.2006 11:22 <DIR> Sunbelt Software
07.07.2006 11:36 <DIR> vanBasco's Karaoke Player
25.06.2006 10:24 <DIR> VideoLAN
22.08.2006 19:50 <DIR> Windows Media Player
12.02.2006 18:25 <DIR> Windows NT
12.11.2006 04:02 <DIR> WinRAR
12.02.2006 15:55 <DIR> xerox
12.02.2006 17:49 <DIR> Yahoo!
12.11.2006 04:02 <DIR> ZipGenius 6
0 Datei(en) 0 Bytes
46 Verzeichnis(se), 25'575'972'864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten

12.02.2006 17:52 <DIR> Adobe
02.07.2006 12:10 <DIR> Ahead
29.08.2006 10:33 6'656 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
12.02.2006 17:45 42'590 FASTWiz.log
12.02.2006 18:34 19'000 GDIPFONTCACHEV1.DAT
05.06.2006 13:00 <DIR> Google
13.05.2006 20:59 <DIR> Help
12.02.2006 17:57 <DIR> Identities
11.07.2006 18:23 <DIR> LightScribe
23.07.2006 10:49 <DIR> Microsoft
12.11.2006 11:25 <DIR> Sunbelt Software
13.05.2006 17:23 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150060}
3 Datei(en) 68'246 Bytes
9 Verzeichnis(se), 25'575'972'864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Dokumente und Einstellungen\Lino\Anwendungsdaten

12.02.2006 17:52 <DIR> Adobe
19.07.2006 10:24 <DIR> AdobeUM
13.05.2006 20:59 <DIR> Help
12.02.2006 16:03 <DIR> Identities
12.02.2006 17:52 <DIR> Leadertech
27.02.2006 20:46 <DIR> Macromedia
12.02.2006 17:24 <DIR> Microsoft Web Folders
03.10.2006 18:42 <DIR> MSN6
11.07.2006 18:23 <DIR> NeroDCTemplates
13.05.2006 17:25 <DIR> Sun
02.07.2006 20:50 <DIR> vlc
06.07.2006 10:17 <DIR> ZipGenius
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 25'575'972'864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

16.02.2006 11:21 305 addr_file.html
19.07.2006 10:24 <DIR> Adobe
11.11.2006 18:41 <DIR> AntiVir PersonalEdition Classic
11.11.2006 23:57 <DIR> Kaspersky Lab
20.03.2006 18:56 <DIR> MSN6
12.07.2006 04:19 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
5 Verzeichnis(se), 25'575'972'864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Programme\Gemeinsame Dateien

25.06.2006 09:02 <DIR> .
25.06.2006 09:02 <DIR> ..
12.02.2006 17:53 <DIR> Adobe
25.06.2006 08:59 <DIR> Ahead
12.02.2006 17:26 <DIR> Designer
12.02.2006 15:52 <DIR> Dienste
12.02.2006 16:43 <DIR> EPSON
13.02.2006 11:01 <DIR> InstallShield
13.05.2006 17:24 <DIR> Java
12.11.2006 03:54 <DIR> LightScribe
28.05.2006 12:57 <DIR> MAGIX Shared
12.02.2006 17:26 <DIR> Microsoft Shared
12.02.2006 15:52 <DIR> MSSoap
25.06.2006 09:02 <DIR> Nero
12.02.2006 15:45 <DIR> ODBC
12.02.2006 15:45 <DIR> SpeechEngines
13.05.2006 17:12 <DIR> System
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 25'575'972'864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1895-0C4B

Verzeichnis von C:\Windows\tasks

12.11.2006 08:03 282 XoftSpy.job
1 Datei(en) 282 Bytes
0 Verzeichnis(se), 25'575'972'864 Bytes frei
Seitenanfang Seitenende
12.11.2006, 12:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 du hast den Rechner anscheinend schon gesaeubert ;)
kommen denn wirklich immer noch Popups ???

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\spy.ico

Folders to delete:
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Temp\~nsu.tmp
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne und poste den report
http://virus-protect.org/cureit.html

««
scanne mit panda (wenn es nicht klappt, mit ewido) und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 14:29
...neu hier

Themenstarter

Beiträge: 4
#8 Langsam, langsam zehrt es schon an den Nerven. Nach dem Avenger
hatte ich das Gefühl, dass die Popups nicht mehr auftauchen, doch plötzlich
beim Panda-Scan war der Winantivir Pro 2006 wieder da.
Anbei die gewünschten Logs.


***************Avenger-Log***************

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mvaamqfd

*******************

Script file located at: \??\C:\WINDOWS\puldqtbc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\spy.ico deleted successfully.
Folder C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Temp\~nsu.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


***************Dr.Web-Log***************

A0018303.exe;C:\System Volume Information\_restore{E33390E0-FB6E-4E57-B7E4-13B8CEF9C3DE}\RP134;Trojan.DownLoader.10963;Gelöscht.;
A0018304.exe;C:\System Volume Information\_restore{E33390E0-FB6E-4E57-B7E4-13B8CEF9C3DE}\RP134;Trojan.DownLoader.10963;Gelöscht.;
A0021797.exe;C:\System Volume Information\_restore{E33390E0-FB6E-4E57-B7E4-13B8CEF9C3DE}\RP169;Dialer.Egroup;Gelöscht.;

***************Panda-Log***************


Incident Status Location

Spyware:Cookie/DriveCleaner Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@drivecleaner[1].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@errorsafe[2].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@mediaplex[1].txt
Spyware:Cookie/DriveCleaner Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@stats.drivecleaner[2].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@stats1.reliablestats[2].txt
Spyware:Cookie/Winantivirus Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@winantivirus[1].txt
Spyware:Cookie/DriveCleaner Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@www.drivecleaner[2].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@www.errorsafe[1].txt
Spyware:Cookie/Systemdoctor Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@www.systemdoctor[1].txt
Spyware:Cookie/Winantivirus Not disinfected C:\Dokumente und Einstellungen\Lino\Cookies\lino@www.winantivirus[1].txt
Seitenanfang Seitenende
12.11.2006, 15:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Snoboy

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren
(dann wieder aktivieren)

««
was der panda findet, sind nur Cookies, also kein Grund zur Sorge ;)
die Virendatei in den temp-Files ist geloescht.
es muesste wieder alles o.k. sein - falls es noch Probleme geben sollte - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende