Home » Spyware & Browser Hijacker Support Forum » Virusbursters - wie von Laptop entfernen? » Themenansicht

Virusbursters - wie von Laptop entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.11.2006, 17:18
Heritage
Member

Beiträge: 15
#1 Hallo an alle,

meine Söhne haben sich auf ihrem Laptop offenbar irgendwo diesen Virusbursters-Virus eingefangen - komplett mit "Critical System Error"-Nachricht, blinkendem X und Fragezeichen in der Taskleiste. Außerdem öffnet sich nicht mehr die normale Startseite, sondern die von iewarning.com. Ich komme von deren Laptop nicht mal in dieses Forum - wenn ich es versuche, öffnet sich eine weitere Seite mit "iednserror.com" , und ich erhalte die Nachricht "The page cannot be displayed". Außerdem erscheint eine Nachricht "The page you are looking for is probably blocked by adware/ spyware on your PC. Remove it with System Doctor software. Click here."

Zum Glück ist der Eltern-Laptop soweit OK - ich schreibe jetzt von dem aus.

Habe alle Punkte, die in dem "Neue Beiträge erstellen"-Thread erwähnt sind, befolgt. Hier sind die Logs: Schon mal vorab Danke für die Hilfe!!!

Logfile of HijackThis v1.99.1
Scan saved at 16:06:52, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\VidCodecs\isamonitor.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\EzButton System V3.0\EzButton.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Siemens\calltray.exe
C:\Programme\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\VidCodecs\isamini.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Dokumente und Einstellungen\Helga Stödter\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,setup32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VidCodecs\isaddon.dll
O2 - BHO: (no name) - {ABEE7254-10F5-431C-B2CB-FA2062D09594} - C:\WINDOWS\system32\vbbjet32.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\VidCodecs\iesplugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EzButton System] C:\Programme\EzButton System V3.0\EzButton.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Dokumente und Einstellungen\Helga Stödter\Desktop\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [VirusBursters] C:\Programme\VirusBursters\virusbursters.exe /h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPI Monitor.lnk = C:\Programme\Siemens\calltray.exe
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?50d126ac33534474ac77f80368eaceb3
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?50d126ac33534474ac77f80368eaceb3
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {3364B906-6EF0-4C06-9FD7-21A7375DD870} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10469377076b7c4bc106/netzip/RdxIE601_de.cab
O16 - DPF: {71CBDCD9-0830-4470-A890-35D364DA352C} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1047_EN_XP.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: detachments - {01d8d081-0f76-4ab5-b5e4-9b23a709670e} - C:\WINDOWS\system32\sacskza.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Helga St”dter - 06-11-14 16:50:39.98 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Helga St”dter\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-14 to 2006-11-14 ))))))))))))))))))))))))))))))))))


2006-11-03 16:57 106,496 --a------ C:\WINDOWS\system32\sacskza.dll
2006-10-30 18:00 13,944 --a------ C:\WINDOWS\system32\vbbjet32.dll
2006-10-25 17:12 43,136 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2006-10-15 10:33 63,488 --a------ C:\WINDOWS\xobglu16.dll
2006-10-15 10:33 23,552 --a------ C:\WINDOWS\xobglu32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-14 16:16 -------- d-------- C:\Dokumente und Einstellungen\Helga St”dter\Anwendungsdaten\Help
2006-11-14 16:14 -------- d-------- C:\Programme\CleanUp!
2006-11-07 17:08 -------- d-------- C:\Programme\Windows Live Toolbar
2006-11-03 18:09 -------- d-------- C:\Programme\VidCodecs
2006-10-26 16:26 -------- d-------- C:\Dokumente und Einstellungen\Helga St”dter\Anwendungsdaten\Sun
2006-10-15 10:27 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-15 08:55 -------- d-------- C:\Programme\ANNO 1503
2006-10-12 18:12 -------- d---s---- C:\Dokumente und Einstellungen\Helga St”dter\Anwendungsdaten\Microsoft
2006-09-27 15:49 -------- d-------- C:\Programme\MSN Messenger
2006-09-20 18:40 -------- d-------- C:\Programme\NetMeeting
2006-09-18 19:13 -------- d-------- C:\Dokumente und Einstellungen\Helga St”dter\Anwendungsdaten\Macromedia
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"T-Online_Software_5\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"WebCamRT.exe"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"EzButton System"="C:\\Programme\\EzButton System V3.0\\EzButton.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"TCMKeyboard "="C:\\PROGRA~1\\TCMCOM~1\\PS2USBKBDDrv.exe"
"TCMMouse "="C:\\PROGRA~1\\TCMCOM~1\\MouseDrv.exe"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_5\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"MessengerPlus3"="\"C:\\Dokumente und Einstellungen\\Helga Stödter\\Desktop\\MsgPlus.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"zango"="\"c:\\programme\\zango\\zango.exe\""
"BDMCon"="\"C:\\Programme\\Softwin\\BitDefender10\\bdmcon.exe\" /reg"
"BDAgent"="\"C:\\Programme\\Softwin\\BitDefender10\\bdagent.exe\""
"VirusBursters"="C:\\Programme\\VirusBursters\\virusbursters.exe /h"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="http://images.google.de/images?q=tbn:mjlFEQSaqQBxsM:www.presse.dak.de/ps.nsf/RefUNID/A
17217FA16D96D62C12570050039278D/%24File/Dr_Erbe_3_150.jpg"
"SubscribedURL"="http://images.google.de/images?q=tbn:mjlFEQSaqQBxsM:www.presse.dak.de
/ps.nsf/RefUNID/A17217FA16D96D62C12570050039278D/%24File/Dr_Erbe_3_150.jpg"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,10,03,00,00,15,01,00,00,40,00,00,00,5a,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,00
"OriginalStateInfo"=hex:18,00,00,00,10,03,00,00,15,01,00,00,40,00,00,00,5a,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,62,05,41,c0,ac,74,60,32,b1,03,68,de,62,05,20,6d,\
62,05,11,cc,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"oddworldz.exe"="C:\\WINDOWS\\temp\\oddworldz.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"oddworldz.exe"="C:\\WINDOWS\\temp\\oddworldz.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{01d8d081-0f76-4ab5-b5e4-9b23a709670e}"="detachments"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\VidCodecs\\isamonitor.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"detachments"="{01d8d081-0f76-4ab5-b5e4-9b23a709670e}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Auf Updates fr Windows Live Toolbar prfen.job

Completion time: 06-11-14 16:51:11.10
C:\ComboFix.txt ... 06-11-14 16:51
C:\ComboFix2.txt ... 06-11-14 16:32
C:\ComboFix3.txt ... 06-11-14 16:32

DatFindBat:

Log 1:

Verzeichnis von C:\WINDOWS\system32

06-11-14 16:26 2,006 RFERRORS.TXT
06-11-14 16:26 118 rfmsglog.txt
06-11-14 16:25 2,206 wpa.dbl
06-11-14 16:06 81,984 bdod.bin
06-11-03 16:57 106,496 sacskza.dll
06-10-30 18:00 13,944 vbbjet32.dll
06-10-29 12:29 379,254 perfh009.dat
06-10-29 12:29 52,992 perfc009.dat
06-10-29 12:29 390,412 perfh007.dat
06-10-29 12:29 63,992 perfc007.dat
06-10-29 12:29 895,350 PerfStringBackup.INI
06-10-04 21:03 9,639,336 MRT.exe
06-09-14 14:15 7,200 wuredist.cab
06-09-13 06:02 1,084,416 msxml3.dll
06-09-04 07:12 1,494,016 shdocvw.dll
06-08-25 16:46 617,472 comctl32.dll
06-08-21 13:26 16,896 fltlib.dll
06-08-21 10:14 23,040 fltmc.exe
06-08-16 12:58 100,352 6to4svc.dll


Log 2:

Verzeichnis von C:\DOKUME~1\HELGAS~1\LOKALE~1\Temp

06-11-14 16:57 512 ~DF594.tmp
1 Datei(en) 512 Bytes
0 Verzeichnis(se), 6,269,026,304 Bytes frei

Log 3:

Verzeichnis von C:\WINDOWS

06-11-14 16:24 1,800,157 WindowsUpdate.log
06-11-14 16:05 841 win.ini
06-11-14 15:50 0 0.log
06-11-14 15:50 159 wiadebug.log
06-11-14 15:50 3,834 ModemLog_Agere Systems AC'97 Modem.txt
06-11-14 15:50 50 wiaservc.log
06-11-14 15:50 2,048 bootstat.dat
06-11-14 15:05 32,528 SchedLgU.Txt
06-11-09 19:06 116 NeroDigital.ini
06-11-07 21:07 718,566 setupapi.log
06-11-06 18:19 1,092 IE4 Error Log.txt
06-11-01 15:04 10,659 wmsetup.log
06-10-28 14:20 226,414 setupact.log
06-10-15 10:36 67,062 Loewe_2.cst
06-10-15 10:33 23,552 xobglu32.dll
06-10-15 10:33 63,488 xobglu16.dll
06-10-11 16:36 119,916 iis6.log
06-10-11 16:36 251,350 comsetup.log
06-10-11 16:36 157,676 ntdtcsetup.log
06-10-11 16:36 312,023 tsoc.log
06-10-11 16:36 1,393 imsins.log
06-10-11 16:36 33,474 ocmsn.log
06-10-11 16:36 13,111 KB924191.log
06-10-11 16:36 432,315 ocgen.log
06-10-11 16:36 40,072 msgsocm.log
06-10-11 16:36 787,960 FaxSetup.log
06-10-11 16:36 42,460 updspapi.log
06-10-11 16:36 1,393 imsins.BAK
06-10-11 16:36 12,945 KB922819.log
06-10-11 16:36 12,163 KB923414.log
06-10-11 16:35 12,061 KB924496.log
06-10-11 16:34 9,564 KB923191.log
06-10-09 14:58 727 eReg.dat
06-10-03 15:51 0 iPlayer.INI
06-09-27 06:14 10,629 KB925486.log
06-09-18 19:35 8,521 WgaNotify.log
06-09-18 15:48 15,037 KB920685.log
06-09-18 15:44 16,694 KB920872.log
06-09-18 15:42 14,245 KB919007.log
06-09-18 15:42 7,898 KB922582.log
06-08-17 20:06 18,156 KB920214.log
06-08-17 20:06 18,099 KB922616.log
06-08-17 20:05 18,655 KB921398.log
06-08-17 20:04 25,144 KB918899.log
06-08-17 20:04 14,562 KB920670.log
06-08-17 20:03 17,790 KB917422.log
06-08-17 20:03 20,685 KB920683.log
06-08-09 15:06 11,114 KB921883.log
06-08-07 19:27 11,882 KB917159.log
06-08-07 19:27 12,407 KB914388.log
06-08-07 19:26 10,373 KB916595.log
06-08-07 15:52 9,557 wmsetup10.log


Log 4:

Verzeichnis von C:\WINDOWS\Temp

06-11-14 16:53 0 decBCA.tmp
06-11-14 16:53 0 decBC9.tmp
06-11-14 16:53 0 decBC8.tmp
06-11-14 16:53 0 decBC7.tmp
06-11-14 16:53 0 decBC6.tmp
06-11-14 16:53 0 decBC5.tmp
06-11-14 16:53 0 decBC4.tmp
7 Datei(en) 0 Bytes
0 Verzeichnis(se), 6,268,977,152 Bytes frei


Log 5:

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06-06-25 11:50 1,793 erma.inf
05-10-17 10:24 231 EGAUTH.inf
05-08-27 13:30 5,065 swflash.inf
05-06-29 17:17 227 opuc.inf
05-03-04 11:11 2,371 wmvadvd.inf
04-11-17 21:44 114,728 Zintro.ocx
04-04-06 18:03 172,072 MessengerStatsPAClient.dll
03-11-10 23:59 65 desktop.ini
03-08-25 18:12 1,096 iuctl.inf
03-05-29 14:00 160,864 messengerstatsclient.dll
03-05-29 14:00 77,408 msgrchkr.dll
03-03-03 14:06 524,404 RdxIE.dll
00-01-20 15:25 1,162 Microsoft XML Parser for Java.osd
97-10-14 18:52 697 DirectAnimation Java Classes.osd
14 Datei(en) 1,062,183 Bytes
0 Verzeichnis(se), 6,268,973,056 Bytes frei


Log 6:

Verzeichnis von C:\

06-11-14 17:02 0 sys.txt
06-11-14 17:02 956 down.txt
06-11-14 17:01 540 tmp.txt
06-11-14 17:00 11,395 system.txt
06-11-14 16:58 283 systemtemp.txt
06-11-14 16:56 99,071 system32.txt
06-11-14 16:52 8,476 ComboFix log 14.11.06.txt
06-11-14 16:51 8,476 ComboFix.txt
06-11-14 16:32 147 ComboFix2.txt
06-11-14 16:32 8,154 ComboFix3.txt
06-11-14 15:50 501,731,328 hiberfil.sys
06-11-14 15:50 754,974,720 pagefile.sys
06-01-21 15:45 431 crashAddress.txt
05-12-02 15:15 0 AILog.txt
05-11-24 14:32 211 boot.ini
05-11-24 14:21 47,564 NTDETECT.COM
05-11-24 14:21 251,184 ntldr
05-08-25 16:18 309 ToCaclLg.txt
05-08-25 16:11 429 TO_InstallLog.txt
03-11-11 00:00 0 AUTOEXEC.BAT
03-11-11 00:00 0 CONFIG.SYS
03-11-11 00:00 0 IO.SYS
03-11-11 00:00 0 MSDOS.SYS
03-11-10 12:38 501 IPH.PH
02-08-29 13:00 4,952 bootfont.bin
25 Datei(en) 1,257,149,127 Bytes
0 Verzeichnis(se), 6,268,968,960 Bytes frei


Das Problem habe ich ja schon geschildert.

Ich hoffe, Ihr könnt mir helfen - schon mal vorab vielen Dank!

Viele Grüße, Helga
Dieser Beitrag wurde am 14.11.2006 um 21:18 Uhr von Heritage editiert.
Seitenanfang Seitenende
15.11.2006, 01:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"oddworldz.exe"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"oddworldz.exe"=-
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|zango

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ABEE7254-10F5-431C-B2CB-FA2062D09594}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ABEE7254-10F5-431C-B2CB-FA2062D09594}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EMediaCodek.Chl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PlayVideoEnchancer.chl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VidCodecs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VidCodecs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters

Files to delete:
C:\WINDOWS\temp\oddworldz.exe
C:\WINDOWS\Temp\decBCA.tmp
C:\WINDOWS\Temp\decBC9.tmp
C:\WINDOWS\Temp\decBC8.tmp
C:\WINDOWS\Temp\decBC7.tmp
C:\WINDOWS\Temp\decBC6.tmp
C:\WINDOWS\Temp\decBC5.tmp
C:\WINDOWS\Temp\decBC4.tmp
C:\WINDOWS\system32\setup32.exe
C:\WINDOWS\system32\sacskza.dll
C:\WINDOWS\system32\vbbjet32.dll
C:\WINDOWS\Downloaded Program Files\EGAUTH.inf

Folders to delete:
C:\Programme\VidCodecs
C:\Programme\VirusBursters
c:\programme\zango\zango.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

______________________________________________________

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,setup32.exe

O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VidCodecs\isaddon.dll

O2 - BHO: (no name) - {ABEE7254-10F5-431C-B2CB-FA2062D09594} - C:\WINDOWS\system32\vbbjet32.dll

O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\VidCodecs\iesplugin.dll

O16 - DPF: {71CBDCD9-0830-4470-A890-35D364DA352C} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1047_EN_XP.cab

PC neustarten

»»
scanne mit panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2006, 17:58
Heritage
Member

Themenstarter

Beiträge: 15
#3 Herzlichen Dank, Sabina, die Taskleiste ist schon mal wieder frei!

Hier ist jetzt das Ergebnis meines Scans mit panda:


Incident Status Location

Adware:adware/cws Not disinfected Windows Registry
Potentially unwanted tool:application/zango Not disinfected hkey_local_machine\software\microsoft\windows\currentversion\uninstall\zango
Dialer:dialer.b Not disinfected hkey_current_user\software\EGDHTML
Adware:adware/wupd Not disinfected Windows Registry
Adware:adware/savenow Not disinfected Windows Registry
Adware:adware/ncase Not disinfected Windows Registry
Spyware:Cookie/217.73.66.16 Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Cookies\helga stödter@217.73.66[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Cookies\helga stödter@2o7[2].txt
Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Cookies\helga stödter@xxxcounter[1].txt
Spyware:Cookie/Yadro Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Cookies\helga stödter@yadro[1].txt
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Cookies\helga stödter@zedo[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Desktop\SmitfraudFix\SmitfraudFix\Process.exe
Possible Virus. Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Desktop\SmitfraudFix\SmitfraudFix\swsc.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Desktop\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Possible Virus. Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Desktop\SmitfraudFix.zip[SmitfraudFix/swsc.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVGBA58X\SmitfraudFix[1].zip[SmitfraudFix/Process.exe]
Possible Virus. Not disinfected C:\Dokumente und Einstellungen\Helga Stödter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVGBA58X\SmitfraudFix[1].zip[SmitfraudFix/swsc.exe]

Sind ja interessante Sachen da, ich muß mal mit meinen Söhnen reden...

Was muß ich jetzt machen?

Viele Grüße, Helga
Seitenanfang Seitenende
15.11.2006, 18:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 scanne, stelle nach dem scan alles auf "remove" und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2006, 23:35
Heritage
Member

Themenstarter

Beiträge: 15
#5 Oha, hier ist der Scan-Report von Counterspy...er ist soooo lang, daß ich ihn als Datei versuche, hochzuladen. Hoffentlich klappts!



Und jetzt?

Viele Grüße,

Helga

Anhang: Spyware Scan Details - CounterSpy.doc
Seitenanfang Seitenende
16.11.2006, 00:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 das war eine gute Idee, mit dem Counterspy zu scannen, das war eine "Grossreinigung" ;)
nun muesste wieder alles sauber sein.
passe in Zukunft besser auf, was du aus dem Net laedst, also : keine verseuchten Codecs und suspekte Spywareprogramme
Alles Gute ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 05:57
Heritage
Member

Themenstarter

Beiträge: 15
#7 Liebe Sabina,

herzlichen Dank für Deine Hilfe - wann schläfst Du eigentlich??? Ich werde heute über Paypal eine Spende losschicken. Meine Söhne dürfen sich mit ihrem Taschengeld beteiligen, und Deine Warnung gebe ich auch an sie weiter. Du darfst nicht glauben, daß ich sie nicht ohnehin regelmäßig warne....

Wegen unseres Eltern-Laptops habe ich dann noch eine Frage, da eröffne ich aber einen neuen Thread.

Viele Grüße und nochmals vielen, vielen Dank!!!

Helga
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1