Ungewollte Seiten mit Google links.

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.11.2006, 15:41
...neu hier

Beiträge: 9
#1 Hallo,

ich habe ein Problem mit meinem Internet bzw mit Links....Wenn ich z.b. in Google etwas suche und dann auf ein Suchergebniss klicke um auf die gefundene Seite zu kommen, lande ich ständig auf falschen Seiten. Es funktioniert nur wenn ich den Link direkt in die Adressleiste eintrage.

Ich muss zugeben viel Ahnung habe ich nicht ausser AntiVirus und Spybot habe ich nichts machen können (fehlt mein Fachwissen)

Vielleicht könnte mir jemand hier aus dem Forum helfen

Danke schon mal für eure Antworten

Kniggi
Seitenanfang Seitenende
20.11.2006, 15:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 poste diese logs, dann schaue ich nach, was los ist ;)
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 09:07
...neu hier

Themenstarter

Beiträge: 9
#3 danke erstmal für deine schnelle antwort, muss nur noch das problem lösen, dass ich dieses forum von dem betroffenen rechner nicht öffnen kann. er springt hier auch auf eine internetseite und sagt die seite "http://board.protecus.de" gibt es nicht.....
Seitenanfang Seitenende
21.11.2006, 09:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 bringe die proggies von einem sauberen rechner auf den verseuchten (USB-Stick ? - Diskette ? ), mit den logs verfaehrst du umgekehrt ;)

Download FixWareout
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
http://virus-protect.org/artikel/tools/fixwareout.html
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt - hier posten


Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste das log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 00:23
...neu hier

Themenstarter

Beiträge: 9
#5 wow...habe es endlich geschaft die text dateien zu erstellen.mein rechner lässt mich einfach nicht auf die seite des forum oder auch z.b auf die seite computercops.biz hat er mich nicht gelassen. ich werde die dateien hier anhängen. wenn mir jemand antworten kann auf mein problem, schreibt mir bitte eine e-mail. da ich in das forum nur komme wenn ich bei jemand anderes an den computer kann.

ich hoffe ich habe alles richtig gemacht und schon mal danke im vorraus.

kniggi

hier meine dateien

Logfile of HijackThis v1.99.1
Scan saved at 23:32:39, on 23.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\explorer.exe
D:\computer virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {599C6AA3-3F06-8807-64E0-D15C6378195C} - (no file)
O2 - BHO: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - (no file)
O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\clonecd\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{797E1375-93AA-4058-AB06-C779A559211D}: NameServer = 85.255.114.26,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe


kai - 06-11-23 23:42:07,92 Service Pack 1
ComboFix 06.11.22 - Running from: "D:\computer virus"

((((((((((((((((((((((((((((((( Files Created from 2006-10-23 to 2006-11-23 ))))))))))))))))))))))))))))))))))


2006-11-23 23:34 <DIR> d-------- C:\Programme\CleanUp!
2006-11-16 21:00 <DIR> d-------- C:\Programme\Neopets
2006-11-11 15:54 <DIR> d-------- C:\Programme\Disney
2006-11-04 16:07 <DIR> dr-h----- C:\Dokumente und Einstellungen\kai\Recent


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-21 19:49 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-04 16:14 -------- d-------- C:\Programme\XPcleanv5
2006-11-04 15:54 -------- d-------- C:\Programme\Spybot - Search & Destroy
2006-10-14 10:23 499200 --a------ C:\WINDOWS\system32\Haunted House.scr
2006-10-14 10:23 29184 --a------ C:\WINDOWS\system32\sstunst2.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"AnyDVD"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"
"CloneCDTray"="\"C:\\clonecd\\CloneCDTray.exe\" /s"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"nwiz"="nwiz.exe /install"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktopChanges"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"notepad.exe"="msmsgs.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-23 23:46:09.45
C:\ComboFix.txt ... 06-11-23 23:46


Datentr„ger in Laufwerk D: ist Rest
Volumeseriennummer: 819E-D60C

Verzeichnis von D:\

29.04.2006 00:32 27.044 Kaufabwicklung [Seite 4-4].mht
28.04.2006 19:29 13.746 Feedback.mht
15.04.2006 18:08 23.552 eventruine g„steliste.xls
20.02.2006 21:06 26.624 playlist.doc
20.12.2005 19:47 5.223.678 695.wmv
09.12.2005 18:14 7.737 mxfilerelatedcache.mxc2
27.11.2005 22:12 3.595.084 Lucifer.wav
27.11.2005 22:00 3.738.272 wollen wir mal.wav
02.11.2005 21:32 112 card_cfg.txt
02.11.2005 21:32 297 interface_cfg.txt
31.10.2005 17:07 2.973.436 kutyakok.wmv
30.08.2005 18:16 209.144 hpothb07.tif
30.08.2005 18:16 1.487 hpothb07.dat
27.08.2005 12:09 11.327.190 Scannen.jpg
19.07.2005 17:07 335.084 DCP02475.JPG
10.05.2004 16:30 8.619.788 01 Titel 1 Unbekannter Interpret Unbekanntes Album (19.02.2003 20-26-51).wma
21.04.2004 11:36 8.208.178 02 Titel 2.wma
26.01.2002 00:50 4.501.504 e nomine - Lucifer.MP3
18 Datei(en) 48.831.957 Bytes
0 Verzeichnis(se), 1.052.332.032 Bytes frei
Dieser Beitrag wurde am 24.11.2006 um 00:26 Uhr von kniggi editiert.
Seitenanfang Seitenende
24.11.2006, 00:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
Download FixWareout
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt - hier posten

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: Class - {599C6AA3-3F06-8807-64E0-D15C6378195C} - (no file)

O2 - BHO: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll

O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O17 - HKLM\System\CCS\Services\Tcpip\..\{797E1375-93AA-4058-AB06-C779A559211D}: NameServer = 85.255.114.26,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79

PC neustarten

Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

1. Click Start > Control Panel
2. Double-click Network Connections. - 85.255.114.26 85.255.112.79 - muss raus !!

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.


Avenger

http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\policies\explorer\run|notepad.exe

Folders to delete:
C:\Programme\Neopets
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

-------------------------------------------------------------

auf C:\ entpacken !!!!
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 00:59
...neu hier

Themenstarter

Beiträge: 9
#7 ok...werde ich morgen einstellen und abarbeiten...danach melde ich mich wieder .

:-)

danke erst mal
Seitenanfang Seitenende
24.11.2006, 01:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 o.k. bis morgen ;) ............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 20:02
...neu hier

Themenstarter

Beiträge: 9
#9 Hallo...

konnte fixwareout bearbeiten..

hijackthis hatte ich erledigt bis auf 01 - hosts:localhost 127.0.0.1 (war nicht da)

netzwerk/Eigenschaften ist IP und DNS angehakt

click Start > controlPanel und double-click network...... (wusste ich nicht was ich da machen soll bzw wo ich es wie weg machen soll

hoster.zip ist erledigt

avenger hat nicht funtioniert (datei entpackt (129 kb) - exe lies sich nicht starten

smitfraudfix hat geklappt


wenn ich mittlerweile von meinem rechner auf das forum zugreifen will kommt der allgemeine Fehler "die seite kann nicht angezeigt werden". andere seiten z.b google funktionieren.

nur sobald ich auf eine der hier genannten seiten gehen möchte kommt "seite kann nicht angezeigt werden"
Dieser Beitrag wurde am 24.11.2006 um 20:06 Uhr von kniggi editiert.
Seitenanfang Seitenende
24.11.2006, 20:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 dann poste das neue Log vom HijacktHis...
p.s. das log vom FixWareout wollte ich gern sehen..........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 20:17
...neu hier

Themenstarter

Beiträge: 9
#11 Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4811C4779AFF-CE3B-CDD4-C095-D6234B11{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qhtmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1dedoc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llams_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ytpme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\domdnb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\orcimlh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23tsniow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\emvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSWVY.EXE 51.715 2006-10-02
C:\WINDOWS\SYSTEM32\DMTHQ.EXE 60.976 2002-08-29

Other suspects.
Directory of C:\WINDOWS\system32
{D46AEBF6-E2E0-4CAD-88FD-15C9A4206620}.exe

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.
Seitenanfang Seitenende
24.11.2006, 20:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\SYSTEM32\CSWVY.EXE
C:\WINDOWS\SYSTEM32\DMTHQ.EXE
C:\WINDOWS\system32\{D46AEBF6-E2E0-4CAD-88FD-15C9A4206620}.exe

PC neustarten

»»
deinstalliere:
C:\Programme\Neopets

««
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

+
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.11.2006, 01:43
...neu hier

Themenstarter

Beiträge: 9
#13 Scanning Report
Saturday, November 25, 2006 01:23:24 - 01:46:56
Computer name: KNIGGI
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\ G:\

Result: 9 malware found
Adware.LinkOptimizer (spyware)
? System (Disinfected)
Alexa (spyware)
? System (Disinfected)
Tracking Cookie (spyware)
? System (Disinfected)
? System
? System
? System
Trojan-Dropper.Win32.Agent.azc (virus)
? C:\DOKUMENTE UND EINSTELLUNGEN\KAI\EIGENE DATEIEN\BCC2D0.EXE (Renamed & Submitted)
Trojan.Win32.DNSChanger.as (virus)
? C:\WINDOWS\SYSTEM32\CRIFX.EXE (Renamed & Submitted)
W32/Agent.GWI (virus)
? C:\!KILLBOX\{D46AEBF6-E2E0-4CAD-88FD-15C9A4206620}.EXE (Submitted)

Statistics
Scanned:
? Files: 17043
? System: 4043
? Not scanned: 6
Actions:
? Disinfected: 3
? Renamed: 2
? Deleted: 0
? None: 4
? Submitted: 3
Files not scanned:
? C:\PAGEFILE.SYS
? C:\WINDOWS\PBJXA1.DLL
? C:\WINDOWS\SYSTEM32\DMMSU.EXE
? C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
? C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\QABB.EXE
? C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\WWT.EXE

Options
Scanning engines:
? F-Secure Libra: 2.4.2, 2006-11-24
? F-Secure AVP: 7.0.171, 2006-11-24
? F-Secure Orion: 1.2.37, 2006-11-24
? F-Secure Blacklight: 1.0.31, 0000-00-00
? F-Secure Draco: 1.0.35, 0260-02-44
? F-Secure Pegasus: 1.19.0, 2006-08-29
Scanning options:
? Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
? Use Advanced heuristics

Copyright © 1998-2006 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.





Logfile of HijackThis v1.99.1
Scan saved at 01:50:42, on 25.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\computer virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\clonecd\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dmwek.exe] C:\WINDOWS\System32\dmwek.exe
O4 - HKLM\..\Run: [dmmsu.exe] C:\WINDOWS\System32\dmmsu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe



ich hoffe es hat geholfen....:-)

melde mich morgen wieder....und schon mal 1000 dank
Seitenanfang Seitenende
25.11.2006, 15:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 kniggi

0.
auf C:\ entpacken !!!!
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

1.
RootkitRevealer - poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\System" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt
1.
mit der killbox loeschen:

C:\WINDOWS\PBJXA1.DLL
C:\WINDOWS\System32\dmwek.exe
C:\WINDOWS\System32\dmmsu.exe
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\QABB.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\WWT.EXE

3.
fixe mit dem hijackthis

Zitat

O4 - HKLM\..\Run: [dmwek.exe] C:\WINDOWS\System32\dmwek.exe
O4 - HKLM\..\Run: [dmmsu.exe] C:\WINDOWS\System32\dmmsu.exe
3.
wende noch mal FixWareout an und poste das log

4.
poste dieses log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2006, 00:05
...neu hier

Themenstarter

Beiträge: 9
#15 0. konnte ich machen.....log weiter unten

1. konnte ich herunterladen und entpacken (lies sich aber nicht starten)

2.hab ich gemacht....log weiter unten

3.killbox konnte ich machen .... war aber anscheinend ohne erfolg, da nach

4. hijackthis und dem reboot die dateien noch da waren.

5 fixwareout ... habe ich gemacht

6. konnte das programm nicht öffnen

hier die logs...


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.06.2006 15:31 181.856 fscax.dll
15.06.2006 10:19 483 fscax.inf
03.02.2006 11:20 188.416 fsauc.dll
17.01.2006 17:11 580.663 daas_s.dll
25.06.2003 19:00 541 ca.pub
5 Datei(en) 951.959 Bytes
0 Verzeichnis(se), 3.037.130.752 Bytes frei


Logfile of HijackThis v1.99.1
Scan saved at 13:07:01, on 26.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\computer virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\clonecd\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\Dokumente und Einstellungen\kai\Lokale Einstellungen\Anwendungsdaten

28.08.2005 01:15 <DIR> Adobe
09.06.2005 18:43 <DIR> Ahead
12.02.2006 19:23 <DIR> BVRP Software
21.11.2006 17:27 167.424 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
04.12.2005 17:31 16.680 GDIPFONTCACHEV1.DAT
14.08.2005 15:41 <DIR> Help
08.06.2005 15:40 <DIR> Identities
24.11.2006 17:56 <DIR> Microsoft
04.11.2005 20:56 <DIR> Myst V Demo
2 Datei(en) 184.104 Bytes
7 Verzeichnis(se), 3.036.622.848 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\Dokumente und Einstellungen\kai\Anwendungsdaten

28.08.2005 01:15 <DIR> Adobe
28.08.2005 01:17 <DIR> AdobeUM
02.12.2005 00:27 <DIR> Ahead
26.12.2005 16:03 <DIR> Ankh
02.10.2005 14:26 <DIR> Atari
06.09.2005 22:14 <DIR> BSHOOTER.com
27.06.2005 17:42 <DIR> CDZilla
18.07.2005 07:51 <DIR> CyberLink
11.07.2005 17:54 <DIR> Google
25.01.2006 20:32 <DIR> Help
19.08.2005 09:38 <DIR> Hewlett-Packard
06.06.2005 18:46 <DIR> Identities
30.12.2005 20:13 <DIR> iGrafx
08.02.2006 22:08 <DIR> Ipswitch
14.12.2005 19:29 <DIR> Jasc Software Inc
14.06.2005 20:16 <DIR> Macromedia
30.12.2005 20:27 <DIR> MAGIX
30.12.2005 15:56 <DIR> Morpheus
27.06.2005 17:42 <DIR> Mozilla
13.08.2006 10:29 <DIR> Neopets Toolbar
14.06.2005 20:28 <DIR> Real
14.09.2005 21:33 <DIR> Sun
13.01.2006 21:35 <DIR> T-DSL SpeedManager
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 3.036.618.752 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

27.02.2006 17:05 305 addr_file.html
13.08.2005 20:51 <DIR> Adobe
14.10.2005 15:09 <DIR> Ahead
21.09.2006 17:33 <DIR> AntiVir PersonalEdition Classic
17.03.2006 16:26 <DIR> Avanquest Software
04.03.2006 02:05 <DIR> BVRP Software
30.12.2005 20:23 <DIR> MAGIX
08.04.2006 10:14 <DIR> nView_Profiles
10.10.2005 21:29 <DIR> Spybot - Search & Destroy
14.01.2006 00:00 <DIR> T-DSL SpeedManager
30.12.2005 00:03 <DIR> Zylom
1 Datei(en) 305 Bytes
10 Verzeichnis(se), 3.036.618.752 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\Programme\Gemeinsame Dateien

02.02.2006 20:38 <DIR> .
02.02.2006 20:38 <DIR> ..
28.08.2005 01:15 <DIR> Adobe
08.06.2005 18:39 <DIR> Ahead
06.06.2005 18:39 <DIR> Dienste
19.08.2005 09:34 <DIR> Hewlett-Packard
25.04.2006 18:16 <DIR> iGrafx
02.10.2005 16:16 <DIR> InstallShield
14.09.2005 20:33 <DIR> Java
21.07.2005 17:57 <DIR> MAGIX Shared
08.06.2005 18:48 <DIR> Microsoft Shared
06.06.2005 18:39 <DIR> MSSoap
06.06.2005 19:32 <DIR> ODBC
14.06.2005 20:25 <DIR> Real
06.06.2005 19:32 <DIR> SpeechEngines
03.11.2006 22:34 <DIR> System
14.06.2005 20:25 <DIR> xing shared
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 3.036.618.752 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\Programme\Gemeinsame Dateien\System

03.11.2006 22:34 <DIR> .
03.11.2006 22:34 <DIR> ..
13.07.2005 18:31 <DIR> ado
23.08.2001 13:00 76.288 directdb.dll
13.07.2005 18:31 <DIR> msadc
13.07.2005 18:33 <DIR> Ole DB
29.08.2002 02:43 120.320 qaBB.exe
29.08.2002 02:43 459.776 wab32.dll
29.08.2002 02:42 258.560 wab32res.dll
29.08.2002 02:43 162.304 wWt.exe
5 Datei(en) 1.077.248 Bytes
5 Verzeichnis(se), 3.036.614.656 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\Programme

25.11.2006 01:18 <DIR> .
25.11.2006 01:18 <DIR> ..
26.03.2006 15:42 <DIR> 3D Magic Mahjongg Demo
15.08.2005 21:42 <DIR> Adobe
13.09.2005 22:12 <DIR> Ahead
06.11.2005 21:49 <DIR> Alcohol Soft
13.05.2006 10:21 <DIR> AntiVir PersonalEdition Classic
07.09.2005 09:09 <DIR> BSHOOTER.com
30.12.2005 15:59 <DIR> cbild
23.11.2006 23:34 <DIR> CleanUp!
06.06.2005 18:38 <DIR> ComPlus Applications
14.09.2005 20:46 <DIR> CyberLink
13.07.2005 05:32 <DIR> CyberLink DVD Solution
26.07.2005 19:31 <DIR> directx
11.11.2006 15:54 <DIR> Disney
25.04.2006 18:15 <DIR> DivX
13.11.2005 14:52 <DIR> dtp
06.08.2005 23:49 <DIR> DX-Ball
05.01.2006 23:35 <DIR> Elaborate Bytes
23.08.2005 18:15 <DIR> eMule
03.02.2006 12:46 <DIR> FileZilla
02.02.2006 20:38 <DIR> Gemeinsame Dateien
19.08.2005 09:33 <DIR> Hewlett-Packard
30.12.2005 20:10 <DIR> iGrafx
06.06.2005 18:40 <DIR> Internet Explorer
02.02.2006 00:10 <DIR> Ipswitch
14.12.2005 19:29 <DIR> Jasc Software Inc
26.03.2006 15:53 <DIR> Java
26.03.2006 17:24 <DIR> Kyodai Mahjongg 2006
06.06.2005 19:13 <DIR> LANCOM
30.04.2006 12:00 <DIR> LightFactory110
13.09.2005 22:14 <DIR> Ligos
14.06.2005 23:06 <DIR> MaxySoft
30.12.2005 15:56 <DIR> MciRecorder
08.01.2006 12:09 <DIR> Micro Application
06.06.2005 18:42 <DIR> microsoft frontpage
30.12.2005 15:56 <DIR> Microsoft Office
25.04.2006 18:16 <DIR> Motorola Phone Tools
06.06.2005 18:39 <DIR> Movie Maker
11.06.2005 21:35 <DIR> MSI
13.07.2005 05:43 <DIR> MSN Gaming Zone
09.09.2005 09:40 <DIR> NetMeeting
17.12.2005 16:11 <DIR> NetObjects
23.04.2006 23:25 <DIR> NoLimits Coasters Demo v1.55
06.06.2005 18:40 <DIR> Online-Dienste
06.06.2005 18:39 <DIR> Outlook Express
30.08.2005 22:53 <DIR> QuickTime
14.06.2005 20:25 <DIR> Real
22.02.2006 22:07 <DIR> Skispringen 2006 Demo
14.10.2005 15:02 <DIR> SlySoft
26.06.2005 22:53 <DIR> Soulseek
19.06.2005 21:40 <DIR> Soulseek-Test
04.11.2006 15:54 <DIR> Spybot - Search & Destroy
17.06.2005 19:27 <DIR> StreamCast
23.11.2005 19:53 <DIR> Sytexis Software
13.01.2006 21:32 <DIR> T-DSL SpeedManager
23.02.2006 23:18 <DIR> Tennis Power Ball
13.04.2006 23:26 <DIR> The Westerner
11.03.2004 12:27 40.960 Uninstall_CDS.exe
14.11.2005 22:28 <DIR> Winamp
30.12.2005 20:11 <DIR> Windows Media Player
04.05.2006 18:26 <DIR> Windows Messaging
06.06.2005 18:37 <DIR> Windows NT
02.07.2005 21:50 <DIR> WinZip
06.06.2005 18:42 <DIR> xerox
04.11.2006 16:14 <DIR> XPcleanv5
1 Datei(en) 40.960 Bytes
65 Verzeichnis(se), 3.036.614.656 Bytes frei



Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}98A17054A4FD-6848-8BE4-0528-3F3ECF6C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mpdmd
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSCNK.EXE 51.715 2006-10-02
C:\WINDOWS\SYSTEM32\DMDPM.EXE 60.976 2002-08-29

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\

26.11.2006 12:41 0 sys.txt
26.11.2006 12:41 480 down.txt
26.11.2006 12:41 117 tmp.txt
26.11.2006 12:41 5.857 system.txt
26.11.2006 12:41 1.139 systemtemp.txt
26.11.2006 12:41 105.585 system32.txt
26.11.2006 12:35 1.207.959.552 pagefile.sys
24.11.2006 17:46 860 rapport.txt
23.11.2006 23:46 5.151 ComboFix.txt
29.10.2006 13:24 519 hpfr3420.xml
29.10.2006 13:24 11.183 hpfr3420.log
04.10.2006 09:23 668 datFind.bat
04.05.2006 18:17 0 IO.SYS
04.05.2006 18:17 0 MSDOS.SYS
25.02.2006 17:33 0 AUTOEXEC.BAT
29.12.2005 23:05 25 ent.xx1
29.12.2005 23:05 6 ent.xxx
29.12.2005 22:06 4.707 mxfilerelatedcache.mxc2
20.12.2005 05:43 136.682 codex.zip
19.12.2005 22:23 24.252 Mosaic2.png
24.08.2005 15:49 669 hpothb07.dat
24.08.2005 15:49 1.251 hpothb07.tif
13.07.2005 18:27 194 boot.ini
12.07.2005 23:26 310 DeleteAtReboot.bat
06.06.2005 18:41 0 CONFIG.SYS
17.03.2003 00:07 241.664 nxMyMPC.dll
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
23.08.2001 13:00 4.952 bootfont.bin
06.10.1997 00:03 92.976 English Gothic, 17th c..TTF
28.09.1997 13:45 227.840 codex.ttf
23.11.1996 09:38 76.360 BONES.TTF
32 Datei(en) 1.209.185.875 Bytes
0 Verzeichnis(se), 3.037.130.752 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\WINDOWS

26.11.2006 12:35 0 0.log
26.11.2006 12:35 237 wiadebug.log
26.11.2006 12:35 50 wiaservc.log
26.11.2006 12:35 2.048 bootstat.dat
25.11.2006 22:45 229 NeroDigital.ini
25.11.2006 01:50 7.680 offitems.log
25.11.2006 01:19 4.432 setupapi.log
24.11.2006 17:26 240 setupact.log
21.11.2006 16:59 1.217 wmsetup.log
10.11.2006 19:40 1.125 winamp.ini
06.11.2006 21:50 7.680 kai.pcb
28.10.2006 16:09 12.428 Windows Update.log
04.05.2006 18:26 1.509 win.ini
04.05.2006 18:26 22 exchng.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C2-26A8

Verzeichnis von C:\WINDOWS\system32

26.11.2006 12:35 24.022 FFASTLOG.TXT
26.11.2006 12:35 26.324 nvapps.xml
26.11.2006 12:35 2.206 wpa.dbl
24.11.2006 17:25 1.498 tmp.reg
24.11.2006 17:25 0 tmp.txt
29.10.2006 09:43 311.604 perfh009.dat
29.10.2006 09:43 39.992 perfc009.dat
29.10.2006 09:43 48.156 perfc007.dat
29.10.2006 09:43 316.594 perfh007.dat
29.10.2006 09:43 723.744 PerfStringBackup.INI
14.10.2006 10:23 29.184 sstunst2.exe
08.07.2006 13:59 38.061 Hasee Bounce.msf
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: