Trojaner gefunden, sowie einige Warnungen und Viren

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.11.2006, 23:35
Member

Themenstarter

Beiträge: 34
#46 Hallo Sabina, sorry wenn ich nochmal was poste, aber ich habe heute den SpyDocter runtergeladen und scannen lassen, dabei hat er 193 infizierte Dateien entdeckt. Leider konnte ich diese von meinem PC nicht löschen.

Bei SpywareBlaste waren es 506 Dateien, die infiziert waren.

Bei SpyDoctoer habe ich mal einen Bericht abgespeichert und Dir in die Anlage gepackt. Kannst Du damit was anfangen, kann es sein, daß dies die infizierten Dateien sind, die meinem PC bremsen.


Wenn ich auf "Spybot - Search & Destroy" ausführe, zeigt es mir auch "Probleme" an, die ich dann "immunisere", aber beim nächsten Scan sind wieder da und werden angezeigt.

Ich würde mich sehr freuen, wenn Du mir evtl, doch noch einen Tip hättest

Liebe Grüsse
LissyK

Seitenanfang Seitenende
20.11.2006, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{6A66CC28-F0A2-FCBC-D3D5-1EA3001ED26A}]
[-HKEY_CLASSES_ROOT\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}]
[-HKEY_CLASSES_ROOT\Interface\{0AF62F35-D454-42B3-A1AB-83934DCE5C03}]
[-HKEY_CLASSES_ROOT\Interface\{0D5332E4-6D74-484D-A7FA-8C81135772E5}]
[-HKEY_CLASSES_ROOT\Interface\{132E8735-44E8-4991-B24F-46E375480C77}]
[-HKEY_CLASSES_ROOT\Interface\{31023EB1-DBFA-4959-92F1-5031347AF7CA}]
[-HKEY_CLASSES_ROOT\Interface\{5EB46647-1B09-46CE-B226-8B1E63C7CBFD}]
[-HKEY_CLASSES_ROOT\Interface\{5EBBCC5D-A38F-43CD-918F-9C02CA79DF46}]
[-HKEY_CLASSES_ROOT\Interface\{8CCCA599-5B2E-4F5A-AF9C-057B01E86510}]
[-HKEY_CLASSES_ROOT\Interface\{A6DC33FD-0A23-42BD-86D2-D5138F1FA43B}]
[-HKEY_CLASSES_ROOT\Interface\{A77F53FD-44C4-4C9D-A3F9-276DE0883C68}]
[-HKEY_CLASSES_ROOT\Interface\{BE02DC3C-8DA6-4424-A07D-93C6F9BC3534}]
[-HKEY_CLASSES_ROOT\Interface\{CD0C9501-80D4-48F1-A18A-4D9F1C7A844E}]
[-HKEY_CLASSES_ROOT\Interface\{DEDBC675-8F5F-49D7-A65A-ADEE6502C01F}]
[-HKEY_CLASSES_ROOT\Interface\{E8A0CCD3-5ACB-4DAA-BFAF-2B848627D553}]
[-HKEY_CLASSES_ROOT\Interface\{EFC5443A-147A-440B-B7A7-9E30F6EA9D8B}]
[-HKEY_CLASSES_ROOT\Interface\{F6D4E489-014B-4BC9-83D7-8547B386AFED}]
[-HKEY_CLASSES_ROOT\Interface\{FBFB63BC-426B-4FAC-B634-D986255809D0}]
[-HKEY_CLASSES_ROOT\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6A66CC28-F0A2-FCBC-D3D5-1EA3001ED26A}]

PC neustarten

««
deinstalliere, falls du das findest
C:\Programme\Home Cinema
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 01:14
Member

Themenstarter

Beiträge: 34
#48 Ich habe den Pfad C:\Programme\Home Cinema nicht gefunden

Den anderen Tipp bzw. die andere Anweisung habe ich so gemacht und nochmal hochgefahren.

Langsam kann ich schon gar nicht mehr sagen, ob es schneller oder langsamer wird. Ich versuche es einfach beim nächsten mal zu kontrollieren.

Danke!

-----------------

So bin gerade nochmal runtergefahren und wieder hoch, es dauert nach wie vor 6 minuten *hmm* bis ich online bin. Und beim ersten Startbild von Aol geht nach wie vor ein POP-UP-Fenster auf, obwohl ich den POP-UP-Blocker eingeschaltet habe.
Dieser Beitrag wurde am 21.11.2006 um 01:29 Uhr von LissyK editiert.
Seitenanfang Seitenende
21.11.2006, 09:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 poste noch mal das log von combofix und noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 14:35
Member

Themenstarter

Beiträge: 34
#50 Die Log's poste ich sobald ich daheim bin

Zusätzlich wollte ich Dich nur mal fragen, was Du davon hälst eine "Systemwiederherstellung" zu machen. Diesen Tipp habe ich auch noch erhalten. Ist damit nicht auch wieder alles im Urzustand, wenn ich einen Tag auswähle BEVOR das mit den Trojanern und Co. passiert ist.

Oder können die Fehler mehr kaputt gemacht haben?

LissyK
Seitenanfang Seitenende
21.11.2006, 14:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 das ist eine variante, allerdings muss es wirklich VOR der Verseuchung sein
probiere es mal, und poste dann das log von combofix und die logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 09:11
Member

Themenstarter

Beiträge: 34
#52 Ich versuche es erst nochmal vorher mit den beiden Log's.

Hier ist der von Combofix:
LissyKeck - 06-11-21 18:22:38,70 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\LissyKeck\Eigene Dateien"

((((((((((((((((((((((((((((((( Files Created from 2006-10-21 to 2006-11-21 ))))))))))))))))))))))))))))))))))


2006-11-19 15:25 153,088 --a------ C:\WINDOWS\system32\jgdwmie.dll
2006-11-11 20:03 29,152 -ra------ C:\WINDOWS\system32\drivers\usb2vcom.sys
2006-10-22 16:48 50,688 --a------ C:\WINDOWS\system32\nmwcdcls.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-21 09:45 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-20 23:39 -------- d-------- C:\Programme\Trend Micro
2006-11-20 23:20 -------- d-------- C:\Dokumente und Einstellungen\LissyKeck\Anwendungsdaten\Registry Cleaner
2006-11-19 23:55 -------- d-------- C:\Programme\AOL 9.0
2006-11-19 21:22 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-11-19 15:29 -------- d-------- C:\Programme\Gemeinsame Dateien\aolshare
2006-11-19 15:24 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-19 14:46 -------- d-------- C:\Programme\AOL
2006-11-18 12:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Scanner
2006-11-18 11:29 -------- d-------- C:\Programme\SCHLECKER Digi-Foto Studio
2006-11-18 11:25 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-18 00:38 -------- d-------- C:\Programme\Internet Explorer
2006-11-17 20:31 -------- d-------- C:\Programme\PDFCreator
2006-11-17 20:21 -------- d-------- C:\Dokumente und Einstellungen\LissyKeck\Anwendungsdaten\TuneUp Software
2006-11-17 03:05 10380 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2006-11-15 21:49 -------- d-------- C:\Programme\Sunbelt Software
2006-11-14 21:26 -------- d-------- C:\Programme\CleanUp!
2006-11-13 23:50 -------- d-------- C:\Programme\MOBILedit!
2006-11-11 20:21 -------- d-------- C:\Dokumente und Einstellungen\LissyKeck\Anwendungsdaten\DataLayer
2006-10-31 20:52 -------- d-------- C:\Dokumente und Einstellungen\LissyKeck\Anwendungsdaten\Google
2006-10-27 20:08 -------- d-------- C:\Programme\Google
2006-10-22 16:49 -------- d-------- C:\Programme\DIFX
2006-10-22 16:48 -------- d-------- C:\Dokumente und Einstellungen\LissyKeck\Anwendungsdaten\PC Suite
2006-10-21 23:38 -------- d-------- C:\Programme\AOL Pictures
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"HostManager"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1134248376\\ee\\AOLSoftware.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"SIA7"="\"C:\\Programme\\Steganos Internet Anonym 7\\SIA7.exe\" -firstboot"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"SIA7"="\"C:\\Programme\\Steganos Internet Anonym 7\\SIA7.exe\" -firstboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Action Manager 32.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Action Manager 32.lnk"
"backup"="C:\\WINDOWS\\pss\\Action Manager 32.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ScannerU\\AM32.exe "
"item"="Action Manager 32"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\WinZip Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Agent"
"hkey"="HKLM"
"command"="C:\\Programme\\Medion\\PowerVCR II\\Agent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Spyware Protection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLSP Scheduler"
"hkey"="HKLM"
"command"="\"C:\\PROGRA~1\\GEMEIN~1\\aol\\AOLPRI~1\\AOLSP Scheduler.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FRITZWLANMini"
"hkey"="HKLM"
"command"="C:\\Programme\\avmwlanstick\\FRITZWLANMini.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLSoftware"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1134248376\\ee\\AOLSoftware.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpztsb04"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IPHSend]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IPHSend"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\IPHSend\\IPHSend.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LVCOMSX"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NVMCTRAY"
"hkey"="HKCU"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote_Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RemoteAgent"
"hkey"="HKLM"
"command"="C:\\Programme\\Medion\\PowerVCR II\\RemoteAgent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIA7]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SIA7"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Steganos Internet Anonym 7\\SIA7.exe\" -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SideWinderTrayV4]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="swtrayv4"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\MI948F~1\\GAMECO~1\\common\\swtrayv4.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SiSUSBrg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\SiSUSBrg.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ypager"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Yahoo!\\Messenger\\ypager.exe\" -quiet"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZyConfig]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ZyConfig"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ZyConfig\\ZyConfig.exe\" -update"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-11-21 18:25:47.14
C:\ComboFix.txt ... 06-11-21 18:25
C:\ComboFix2.txt ... 06-11-14 21:44
C:\ComboFix3.txt ... 06-11-14 21:43

Und hier kommen die 6 Log's von Datfindbat:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48A8-D6CB

Verzeichnis von C:\WINDOWS\system32

21.11.2006 09:41 1.158 wpa.dbl
21.11.2006 01:20 1.068 ikhcore.log
20.11.2006 23:40 2.158 tmmute.ini
18.11.2006 00:28 381.784 perfh009.dat
18.11.2006 00:28 53.604 perfc009.dat
18.11.2006 00:28 392.836 perfh007.dat
18.11.2006 00:28 64.468 perfc007.dat
18.11.2006 00:28 877.134 PerfStringBackup.INI
17.11.2006 23:47 4.212 zllictbl.dat
17.11.2006 21:07 2.516 LVCOMSX.LOG
17.11.2006 20:43 274.968 FNTCACHE.DAT
17.11.2006 03:05 10.380 KGyGaAvL.sys
16.11.2006 23:12 176.128 Status.MPF
16.11.2006 06:20 10.474.920 MRT.exe
30.10.2006 11:25 1.488.688 LegitCheckControl.DLL
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 152.064 cdfview.dll
14.09.2006 09:39 1.056.256 danim.dll
14.09.2006 09:39 1.022.976 browseui.dll
13.09.2006 06:02 1.084.416 msxml3.dll
10.09.2006 15:58 1.183 lvcoinst.log
04.09.2006 07:12 1.494.016 shdocvw.dll
04.09.2006 07:12 1.494.016 shdocvw.bak

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48A8-D6CB

Verzeichnis von C:\WINDOWS

21.11.2006 14:02 256 wiadebug.log
21.11.2006 09:49 2.060.679 WindowsUpdate.log
21.11.2006 09:42 1.154 win.ini
21.11.2006 09:39 0 0.log
21.11.2006 09:39 50 wiaservc.log
21.11.2006 09:39 2.048 bootstat.dat
21.11.2006 07:11 32.618 SchedLgU.Txt
19.11.2006 23:30 835.184 setupapi.log
19.11.2006 20:59 102.554 setupact.log
19.11.2006 20:56 1.125 Winamp.ini
19.11.2006 15:27 389.423 wmsetup.log
19.11.2006 14:58 6 msoffice.ini
18.11.2006 22:58 30 Iedit.INI
18.11.2006 00:43 4.340 COM+.log
18.11.2006 00:39 220.136 iis6.log
18.11.2006 00:39 478.283 comsetup.log
18.11.2006 00:39 290.847 ntdtcsetup.log
18.11.2006 00:39 1.393 imsins.log
18.11.2006 00:39 557.184 tsoc.log
18.11.2006 00:39 62.575 ocmsn.log
18.11.2006 00:39 24.824 KB922760.log
18.11.2006 00:39 698.453 ocgen.log
18.11.2006 00:39 68.935 msgsocm.log
18.11.2006 00:39 1.348.506 FaxSetup.log
18.11.2006 00:38 42.212 updspapi.log
18.11.2006 00:37 1.393 imsins.BAK
18.11.2006 00:37 14.593 KB924270.log
18.11.2006 00:37 13.373 KB923980.log
18.11.2006 00:37 14.030 KB920213.log
17.11.2006 22:52 282 system.ini
17.11.2006 13:02 1.409 QTFont.for
17.11.2006 13:02 54.156 QTFont.qfn
16.11.2006 15:14 267.993.088 MEMORY.DMP
15.11.2006 21:08 7.680 Thumbs.db
13.11.2006 23:23 29.000 DPINST.LOG
14.10.2006 11:23 12.433 KB924191.log
14.10.2006 11:23 12.246 KB922819.log
14.10.2006 11:23 11.422 KB923414.log
14.10.2006 11:23 11.418 KB924496.log
14.10.2006 11:23 8.827 KB923191.log
13.10.2006 20:38 746 avmcowlan.log
03.10.2006 10:58 12.258 KB925486.log
14.09.2006 09:28 12.642 KB920685.log
14.09.2006 09:28 15.029 KB920872.log
13.09.2006 23:13 10.628 KB919007.log
13.09.2006 22:50 7.575 KB922582.log
13.09.2006 22:33 250 accessdll.log
13.09.2006 22:26 3.071 avmadd32.log
13.09.2006 22:26 4.443 avmsetup.log
13.09.2006 22:26 4.656 avmadd321.log
13.09.2006 22:26 3.500 avminstcli.log
13.09.2006 18:33 76.023 _detmp.3
13.09.2006 18:32 107 avmsysnet.log
12.09.2006 18:54 76.112 _detmp.1
04.09.2006 11:20 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
17.08.2006 20:52 10.067 WgaNotify.log
16.08.2006 20:19 2.247 cdplayer.ini
16.08.2006 16:24 14.881 KB920214.log
16.08.2006 16:24 14.816 KB922616.log
16.08.2006 16:23 15.425 KB921398.log
16.08.2006 16:23 21.678 KB918899.log
15.08.2006 21:45 11.543 KB920670.log
15.08.2006 21:45 15.404 KB917422.log
14.08.2006 18:39 18.002 KB920683.log
09.08.2006 19:56 13.345 KB921883.log
31.07.2006 01:02 5.966 instwcli.inf
12.07.2006 21:47 14.576 KB917159.log
12.07.2006 21:47 15.144 KB914388.log
12.07.2006 21:47 13.298 KB916595.log
16.06.2006 18:22 31.466 spupdsvc.log
16.06.2006 09:10 12.202 KB917734.log
16.06.2006 09:09 14.220 KB918439.log
16.06.2006 09:09 14.581 KB917344.log
16.06.2006 09:09 14.357 KB917953.log
16.06.2006 09:09 14.336 KB911280.log
16.06.2006 09:09 17.660 KB916281.log
16.06.2006 09:08 11.610 KB914389.log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48A8-D6CB

Verzeichnis von C:\DOKUME~1\LISSYK~1\LOKALE~1\Temp

21.11.2006 18:21 16.384 Perflib_Perfdata_5d4.dat

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48A8-D6CB

Verzeichnis von c:\

21.11.2006 18:36 0 dirdat.txt
21.11.2006 18:28 15.169 ComboFix.txt
21.11.2006 09:39 267.964.416 hiberfil.sys
21.11.2006 09:39 402.653.184 pagefile.sys
17.11.2006 22:52 211 boot.ini
15.11.2006 20:57 8.244 avenger.txt
14.11.2006 22:24 1.957 sys.txt
14.11.2006 22:23 1.416 down.txt
14.11.2006 22:23 108 tmp.txt
14.11.2006 22:23 17.886 system.txt
14.11.2006 22:22 348 systemtemp.txt
14.11.2006 22:22 111.495 system32.txt
14.11.2006 21:44 8.649 ComboFix2.txt
14.11.2006 21:43 593 ComboFix3.txt
16.09.2006 14:03 741 voxFcoldrv.log

Habe das mit der Systemwiederherstellung versucht, aber es war kein "Wiederherstellungspunkt" gespeichert. Also fällt das schon flach - MIST

Hat sich bei combofix und bei datfindbat was geändert oder hast Du mir noch einen Tipp?

Vielen Dank im voraus!!

LissyK
Seitenanfang Seitenende
22.11.2006, 12:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#53 0.
deinstalliere:
C:\Programme\Steganos Internet Anonym 7

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Registry Cleaner

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


2.
Avenger

Zitat

Folders to delete:
C:\Programme\Registry Cleaner Trial
C:\Dokumente und Einstellungen\LissyKeck\Anwendungsdaten\Registry Cleaner

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 19:52
Member

Themenstarter

Beiträge: 34
#54 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 22.11.2006 19:50:46 for strings:
; 'registry cleaner'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

und hier der Log vom Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hkgaflsl

*******************

Script file located at: bamfxbtk

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
Dieser Beitrag wurde am 22.11.2006 um 20:04 Uhr von LissyK editiert.
Seitenanfang Seitenende
22.11.2006, 20:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#55 wende den Avenger an
wenn das erledigt ist, scanne mit Trend Micro Anti-Spyware for the Web
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 22:50
Member

Themenstarter

Beiträge: 34
#56 Hallo Sabina,

den Avenger habe angewandt - hoffe, dass damit gemeint ist, dass das mit der grünen ampel und den angegeben Text kopiert und eingefügt habe und neugestartet.

So nun noch den Trend Micro Anti-Spyware laufen lassen...*hoff*
Seitenanfang Seitenende
22.11.2006, 23:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 du hast den avenger nicht korrekt angewendet, wahrscheinlich hast du faelschlicherweise "Zitat" mit ins Script reinkopiert - oder irgendeinen anderen Fehler gemacht ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2006, 00:24
Member

Themenstarter

Beiträge: 34
#58 So nach dreimaligem Versuch - hier nun der Avenger-Bericht:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dcdiadwp

*******************

Script file located at: \??\C:\WINDOWS\system32\xrbqobvo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Folder C:\Programme\Registry Cleaner Trial not found!
Deletion of folder C:\Programme\Registry Cleaner Trial failed!

Could not process line:
C:\Programme\Registry Cleaner Trial
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\LissyKeck\Anwendungsdaten\Registry Cleaner deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Bei dem Trend Micro Antisyware fpr the web kam die Meldung:

"Summary of Privacy Thread:
No Spyware found."

Komisch - langsam hab ich das Gefühl der PC müsste doch jetzt langsam "sauber" sein, aber wenn ich den die Geschwindigkeit dagegen betrachte, tut sich in der Hinsicht nichts :-(
Allerdings kamen ja im Spydoctor einige Virus Burst (wie man im Anhang sehen und auch dieses komische "caishow" ist ja auch irgendwie ein "Problemfall") Nur kann ja dies nur mit Kauf der Software gelöscht werden.
Habe immer gehofft, dass dies auch noch ein anderes Programm finden kann.

Bei Spybot - Search und Destroy kommen auch immer wieder zwei "Probleme", eins davon ist "Advertising.com" und "Doubleklick" - oder sind das keine Spyware-Programme?

Liebe Grüsse
Lissy
Seitenanfang Seitenende
23.11.2006, 00:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#59 ich weiss auch nicht weiter ;)
keine Ahnung, was durch den Virus alles am System veraendert wurde
wenn du mal Zeit hast, sichere deine Dateien und formatiere,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2006, 08:53
Member

Themenstarter

Beiträge: 34
#60 Vielen Dank für die ganzen vielen Tipps und Deine unermüdliche Hilfe, auch wenn das Problem noch immer besteht - leider.
Aber schon die Art, daß Du helfen wolltest, finde ich ausgesprochen lobenswert.
Ich hoffe und wünsche, daß Du den Usern noch lange und so gut helfen kannst, wie bisher

Mach weiter so!!

LissyK
Seitenanfang Seitenende