VirusBurster - nun hat es auch mich erwischt

#16 Sabine:
Hier:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.11.2006 20:17:25 for strings:
; 'virus-bursters'
; 'perfect codec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}\1.0\0\win32]
@="C:\\Programme\\Virus-Bursters\\virus-bursters.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}\1.0\HELPDIR]
@="C:\\Programme\\Virus-Bursters\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Perfect Codec]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Perfect Codec]
"DisplayName"="Perfect Codec 4.0"
"UninstallString"="C:\\Programme\\Perfect Codec\\uninst.exe"
"DisplayIcon"="C:\\Programme\\Perfect Codec\\uninst.exe"
"Publisher"="Perfect Codec Software"

[HKEY_USERS\S-1-5-21-1220945662-113007714-1060284298-1003\Software\Agent_EXE\Agent Ransack\RecentFileName]
"2"="Perfect Codec "
"3"="Perfect Codec Virus-Bursters"
"4"="Virus-Bursters"
"5"="Perfect Codec"

[HKEY_USERS\S-1-5-21-1220945662-113007714-1060284298-1003\Software\Internet Security]
"Path"="C:\\Programme\\Perfect Codec"

[HKEY_USERS\S-1-5-21-1220945662-113007714-1060284298-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Virus-Bursters\\virus-bursters.exe"="Anti- spyware and adware"
"C:\\Programme\\Perfect Codec\\uninst.exe"="uninst"

; End Of The Log...

#17 Keine Angst

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|gimmicks
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKLM\SOFTWARE\Classes\CLSID\{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Perfect Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Perfect Codec
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}

Files to delete:
C:\WINDOWS\system32\dcvwaah.dll

Folders to delete:
C:\Programme\Virus-Bursters
C:\Programme\Perfect Codec

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18 luKe90

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
_________________________________________________________________

+
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Sabina:

Danke sehr! Super geklapppt, Warning ist weg!

smitfraudfix konnte einige Dateien allerdings nicht löschen - "Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert".

Mit SUPERAntiSpyware habe ich auch noch einen infizierten Eintrag gefunden und gelöscht.

#20 Keine Angst

Zitat

Problem: Windows Script Host

bekomme immer die Meldung: "Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert." und ich solle mich an den Administrator wenden.

Lösung:

Variante 1: falls xpantispy installiert ist, dort den Windows Script Host freischalten

Hosts freischalten - mit dem xp-antispy
Starten ==> unter "Diverse Einstellungen"
[ ] Windows Scripting Host deaktivieren
Davor den Haken wegnehmen und unten auf "Einstellungen Uebernehmen" klicken.

Variante 2: Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten
(siehe unten auf der seite)
http://virus-protect.org/silentrunner.html

__________
MfG Sabina

rund um die PC-Sicherheit

#21 Sabina:

SmitFraudFix v2.123

Scan done at 17:29:08,40, 21.11.2006
Run from C:\Dokumente und Einstellungen\Ruslan\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#22 Keine Angst

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Gemacht. Herzlichen Dank für deine Hilfe.

#24 1. log:

SUPERAntiSpyware Scan Log
Generated 11/22/2006 at 07:52 PM

Application Version : 3.3.1020

Core Rules Database Version : 3134
Trace Rules Database Version: 1151

Scan type : Complete Scan
Total Scan Time : 00:40:57

Memory items scanned : 554
Memory Thread detected : 1
Registry items scanned : 5414
Registry Thread detected : 8
File items scanned : 22196
File Thread detected : 12

BearShare File Sharing Client
D:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
D:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
[BearShare] D:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\BEARSHARE.LNK
D:\DESKTOP\VERKNüPFUNGEN\BEARSHARE.LNK
C:\WINDOWS\Prefetch\BEARSHARE.EXE-22CC2AD5.pf

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Lukas\Cookies\lukas@rambler[2].txt
C:\Dokumente und Einstellungen\Lukas\Cookies\lukas@atwola[1].txt

Adware.ClickSpring/Yazzle
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#UninstallString

Malware.Safety Bar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar#UninstallString

Adware.VSToolbar
HKU\S-1-5-21-583907252-220523388-725345543-1004\Software\Search Toolbar Corp
D:\Anwendungsdaten\SearchToolbarCorp\Toolbar Vision\PageHistory.txt
D:\Anwendungsdaten\SearchToolbarCorp\Toolbar Vision\WebHistory.txt
D:\Anwendungsdaten\SearchToolbarCorp\Toolbar Vision
D:\Anwendungsdaten\SearchToolbarCorp

Adware.ClickSpring
C:\AVENGER\MUW.DLL

Unclassified.SystemPTHelper
D:\WINDOWSS\WINDOWS\SYSTEM32\D2D8.EXE




2. log

SUPERAntiSpyware Scan Log
Generated 11/22/2006 at 08:55 PM

Application Version : 3.3.1020

Core Rules Database Version : 3134
Trace Rules Database Version: 1151

Scan type : Complete Scan
Total Scan Time : 00:44:48

Memory items scanned : 534
Memory Thread detected : 1
Registry items scanned : 5418
Registry Thread detected : 1
File items scanned : 22198
File Thread detected : 7

BearShare File Sharing Client
D:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
D:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
[BearShare] D:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\BEARSHARE.LNK
D:\DESKTOP\VERKNüPFUNGEN\BEARSHARE.LNK
C:\WINDOWS\Prefetch\BEARSHARE.EXE-22CC2AD5.pf

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Lukas\Cookies\lukas@rambler[2].txt
C:\Dokumente und Einstellungen\Lukas\Cookies\lukas@atwola[1].txt

Unclassified.SystemPTHelper
D:\WINDOWSS\WINDOWS\SYSTEM32\D2D8.EXE




Verzeichnis von C:\WINDOWS\system32

22.11.2006 20:00 81.154 nvapps.xml
22.11.2006 20:00 2.400 wpa.dbl
20.11.2006 18:12 0 tmp.txt
20.11.2006 18:12 3.642 tmp.reg
20.11.2006 18:09 96 sgvqoipf.txt
05.11.2006 20:35 23.392 nscompat.tlb
05.11.2006 20:35 16.832 amcompat.tlb
29.10.2006 12:38 383.254 perfh009.dat
29.10.2006 12:38 53.608 perfc009.dat
29.10.2006 12:38 394.500 perfh007.dat
29.10.2006 12:38 64.598 perfc007.dat
29.10.2006 12:38 906.552 PerfStringBackup.INI
14.10.2006 19:12 45 initdebug.nfo



Verzeichnis von C:\DOKUME~1\Lukas\LOKALE~1\Temp

22.11.2006 20:54 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}30167.html
22.11.2006 20:53 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15832.html
22.11.2006 20:10 1.030 jusched.log
22.11.2006 20:01 16.384 ~DFB9F8.tmp
22.11.2006 20:01 512 ~DFB09C.tmp
22.11.2006 20:01 16.384 ~DFB091.tmp
22.11.2006 20:00 224 WCESCOMM.LOG
22.11.2006 20:00 16.384 Perflib_Perfdata_170.dat
22.11.2006 18:54 717 control.xml
22.11.2006 17:57 16.384 ~DF4428.tmp
22.11.2006 17:57 16.384 ~DF3B3C.tmp
21.11.2006 17:37 4.592 SIntfIcn.ani
21.11.2006 17:37 24.516 SIntfNT.dll
21.11.2006 17:37 19.924 SIntf32.dll
21.11.2006 17:37 12.067 SIntf16.dll
21.11.2006 17:37 36.864 CmdLineExt02.dll
20.11.2006 18:20 16.384 ~DFBB4B.tmp
20.11.2006 00:54 244 1F1205F7.TMP



erzeichnis von C:\WINDOWS

22.11.2006 20:07 795.366 WindowsUpdate.log
22.11.2006 20:00 0 0.log
22.11.2006 19:59 2.048 bootstat.dat
22.11.2006 19:58 32.624 SchedLgU.Txt
22.11.2006 18:54 75.174 wmsetup.log
20.11.2006 18:15 193.754 setupact.log
19.11.2006 11:16 2.588 wftobxtc.txt
17.11.2006 22:24 41.100 War3Unin.dat
17.11.2006 22:23 2.829 War3Unin.pif
17.11.2006 22:23 139.264 War3Unin.exe

Verzeichnis von C:\WINDOWS\Temp

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.07.2006 14:05 1.652.512 Rawflow.ocx

Verzeichnis von C:\

22.11.2006 21:01 0 sys.txt
22.11.2006 21:01 488 down.txt
22.11.2006 21:01 117 temp.txt
22.11.2006 21:01 117 tmp.txt
22.11.2006 21:01 7.602 windows.txt
22.11.2006 21:00 7.602 system.txt
22.11.2006 21:00 1.244 systemtemp.txt
22.11.2006 21:00 99.490 system32.txt
22.11.2006 19:59 1.610.612.736 pagefile.sys
20.11.2006 18:15 1.029 rapport.txt
20.11.2006 18:10 1.496 avenger.txt
20.11.2006 18:09 1.080 excggsan.bat
20.11.2006 18:07 462 errorlog.txt
19.11.2006 14:59 1.707 c.txt
19.11.2006 11:19 1.080 lndhcuhv.bat
19.11.2006 11:19 3.568 avexport.bat
18.11.2006 19:35 86.528 VundoFix.exe
18.11.2006 19:35 904 VundoFix.txt
18.11.2006 17:41 2.694 vm404.log
17.11.2006 21:52 12.550 ComboFix.txt
17.11.2006 21:51 42 ComboFix2.txt
17.11.2006 21:14 1.080 cpnxdnnd.bat
17.11.2006 21:14 126.976 zip.exe
16.10.2006 09:52 194 boot.ini
04.10.2006 09:23 668 datFind.bat

#25 luKe90

««
avenger

Zitat

Files to delete:
C:\lndhcuhv.bat
C:\cpnxdnnd.bat
C:\excggsan.bat

««
scanne mit panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html

»»
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#26 __________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.Generic
Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: Not-A-Virus.Hoax.Win32.Renos.fw
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0432321.dll
Risk: Low

Name: Downloader.Zlob.akg
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0432326.dll
Risk: High

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0432330.dll
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0432331.dll
Risk: Medium

Name: Not-A-Virus.Hoax.Win32.Renos.ap
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0434810.dll
Risk: Low

Name: Rootkit.Settec
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0434811.exe
Risk: High

Name: Not-A-Virus.Hoax.Win32.Renos.fw
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0434812.dll
Risk: Low

Name: Adware.Virtumonde
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0434813.dll
Risk: Medium

Name: Adware.Agent
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP389\A0434817.dll
Risk: Medium

Name: Adware.PurityScan
Path: C:\System Volume Information\_restore{2A004B44-0883-456D-8AB9-8F46E7679358}\RP391\A0435042.dll
Risk: Medium

Name: Rootkit.Settec
Path: C:\WINDOWS\system32\hadl.dll
Risk: High

Name: TrackingCookie.Yieldmanager
Path: :mozilla.7:\Anwendungsdaten\Mozilla\Firefox\Profiles\hxwt1plo.default\cookies.txt
Risk: Medium


Name: Rootkit.Settec
Path: D:\windowss\WINDOWS\system32\d2d8.exe
Risk: High

Name: Rootkit.Settec
Path: D:\windowss\WINDOWS\system32\hadl.dll
Risk: High





Logfile of HijackThis v1.99.1
Scan saved at 14:48:50, on 25.11.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\antivir\AntiVir PersonalEdition Classic\sched.exe
D:\antivir\AntiVir PersonalEdition Classic\avguard.exe
D:\InCD4\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\PDVDServ.exe
D:\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Neuer Ordner\LGDCore.exe
C:\WINDOWS\System32\rundll32.exe
D:\Neuer Ordner\LCDMon.exe
D:\powerstrip\pstrip.exe
D:\InCD4\InCD\InCD.exe
C:\Programme\HHVcdV7Sys\VC7Play.exe
D:\Programme\BearShare\BearShare.exe
D:\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Neuer Ordner\Applets\LCDCountdown\LCDCountdown.exe
D:\activesync\WCESCOMM.EXE
D:\spybotsearch\Spybot - Search & Destroy\TeaTimer.exe
D:\Neuer Ordner\Applets\LCDClock.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Free Download Manager\fdm.exe
D:\santispyware\SUPERAntiSpyware.exe
D:\g15-applets\ts\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Sitecom WL-022 Wireless LAN Utility\WLANUTL.exe
D:\System\VC7Tray.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
I:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] D:\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Neuer Ordner\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Neuer Ordner\LCDMon.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [LcdStudio] C:\Programme\LcdStudio\LcdStudio.exe
O4 - HKLM\..\Run: [PowerStrip] d:\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [avgnt] "D:\antivir7\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [InCD] D:\InCD4\InCD\InCD.exe
O4 - HKLM\..\Run: [VC7Player] C:\Programme\HHVcdV7Sys\VC7Play.exe
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] D:\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\activesync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\spybotsearch\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "d:\cs\steam.exe" -silent
O4 - HKCU\..\Run: [Free Download Manager] D:\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\santispyware\SUPERAntiSpyware.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Sitecom WL-022 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\activesync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\activesync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\activesync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: !SASWinLogon - D:\santispyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\antivir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\antivir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - D:\InCD4\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe

#27 luKe90


öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause

damit es aus dem autostart kommt.
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\spybotsearch\Spybot - Search & Destroy\TeaTimer.exe

Avenger - auf D:\ entpacken und anwenden

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Files to delete:
D:\windowss\WINDOWS\system32\d2d8.exe
D:\windowss\WINDOWS\system32\hadl.dll

Folders to delete:
D:\Programme\BearShare

»»
loesche auf C:\ - am besten mit der killbox
http://virus-protect.org/killbox.html

C:\WINDOWS\system32\hadl.dll

----------------------------------------------------------------------------
**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren

**
AVG Anti-Rootkit 1.0.0.13 Beta - scanne
http://www.freewarefiles.com/program_9_90_22524.html

»»
dann mache die Windowsupdates - lade SP2

_____________

tipp:
falls es mit dem loeschen nicht klappt, dann kannst du beim ewido-Onlinescanner auch einstellen, dass geloescht wird.....
__________
MfG Sabina

rund um die PC-Sicherheit

#28 avg hat keine rootkits gefunden

tja sp2 würd ich gerne downloaden aber meine c partition ist zu klein. das ist total blöd meine C partition ist 4,49 GB groß, meine D partition 123 GB... und C ist natürlich mit windows belegt, d.h da sind noch ca 200 MB frei, und das ist ja zu wenig für das sp2.

#29 wenn du irgendwann mal formatierst, vielleicht sogar jetzt, denn ein Rootkit ist eine ernste Angelegenheit, was die Sicherheit betrifft, dann lege d:\ als Windowspartition fest
__________
MfG Sabina

rund um die PC-Sicherheit

#30 joa hab ich auch schon überlegt ob ich mal formatiere aber ich schrecke son bisschen davor zurück, dass ich ja dann alles noch mal neu installieren muss und so.... naja ich danke dir jedenfalls erstmal für deine hilfe vllt frag ich ja mal einen pc experten aus meinem dorf ob der mir beim formatieren hilft
mfg