VirusBuster Critical System Errors |
||
---|---|---|
#0
| ||
06.12.2006, 02:26
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.12.2006, 10:57
Member
Beiträge: 17 |
#17
hallo sabina
hast du meine pn gelesen? ich hoffe das ich das so richtig gemacht habe. gruss jürgen Logfile of HijackThis v1.99.1 Scan saved at 11:45:29, on 06.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\JRGEN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: (no name) - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - (no file) O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [Network Access] winssh.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: DSLMON.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} - O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - http://www.webplaner-innoplus.de/innova/pano/prog/rundum.7.0.2.0.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120342323249 O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E3327A-BFDB-45C9-85B8-7D0E96D05730}: NameServer = 217.237.150.188 217.237.151.142 O21 - SSODL: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - C:\WINDOWS\system32\vcehaeb.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe Dieser Beitrag wurde am 06.12.2006 um 11:40 Uhr von jürgen1972 editiert.
|
|
|
||
06.12.2006, 12:30
Ehrenmitglied
Beiträge: 29434 |
#18
jürgen1972
poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.12.2006, 12:47
Member
Beiträge: 17 |
#19
hi,
das funktioniert nicht. die exe geht kurz auf wird dann blau und verschwindet wieder. gruss jürgen |
|
|
||
06.12.2006, 12:49
Ehrenmitglied
Beiträge: 29434 |
#20
jürgen1972
1. Cleanup anwenden http://virus-protect.org/cleanup.html 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.12.2006, 23:54
Member
Beiträge: 17 |
#21
Hallo,
soll ich den kompletten text der nun in dem listen.bat ordner steht hier rein stellen? der is ja ellenlang! Gruss jürgen |
|
|
||
07.12.2006, 00:09
Ehrenmitglied
Beiträge: 29434 |
#22
ja, ich will alles sehen - wenn der platz nicht reicht, erstelle eine txt-Datei und poste es als Anhang (siehe unten)
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2006, 00:18
Member
Beiträge: 17 |
#23
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\WINDOWS\system32 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\WINDOWS\Downloaded Program Files 14.10.1997 17:52 697 DirectAnimation Java Classes.osd 22.05.2006 15:37 1.793 erma.inf 20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd 21.07.2006 17:31 128 proto.inf 09.10.2006 09:25 148 startbf2.inf 08.12.2003 12:58 3.759 swflash.inf 11.08.2004 01:22 3.036 wmv9dmo.inf 26.05.2005 03:19 291 wuweb.inf 07.09.2006 21:12 138 _ipsec_.inf 9 Datei(en) 11.152 Bytes 0 Verzeichnis(se), 295.198.720 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Dokumente und Einstellungen\Jrgen 27.07.2006 10:20 <DIR> . 27.07.2006 10:20 <DIR> .. 23.08.2005 21:48 <DIR> Application Data 06.12.2006 23:55 <DIR> Desktop 06.12.2006 00:04 <DIR> Eigene Dateien 05.12.2006 11:58 <DIR> Favoriten 27.07.2006 10:20 324 FTinfo.pts 06.12.2006 23:51 4.718.592 ntuser.dat 18.06.2006 22:17 15.428 RefEdit.exd 06.12.2006 00:05 <DIR> Startmen 04.07.2006 12:15 26.036 Startmen.rar 30.06.2005 22:06 <DIR> WINDOWS 4 Datei(en) 4.760.380 Bytes 8 Verzeichnis(se), 295.198.720 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Lokale Einstellungen\Temporary Internet Files\Content.IE5 06.12.2006 23:50 2.850.816 index.dat 1 Datei(en) 2.850.816 Bytes 0 Verzeichnis(se), 295.194.624 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Lokale Einstellungen\Temp 06.12.2006 23:49 <DIR> . 06.12.2006 23:49 <DIR> .. 26.10.2005 15:33 316 0002.idx 23.07.2006 04:04 933 003.idx 17.08.2005 11:32 4.325 01.idx 19.07.2005 09:27 1.101 02.idx 07.07.2006 00:43 973 060622150022.idx 14.11.2006 15:35 169 1.idx 10.08.2005 15:39 1.629 132.idx 21.07.2006 21:29 0 17ED9A.dmp 25.01.2006 00:42 0 1ABA896.dmp 09.07.2006 23:24 788 2.idx 27.08.2006 17:22 1.832 270506.idx 03.12.2006 04:07 117 2F49CE31.TMP 16.10.2005 21:38 306 3.idx 02.08.2006 12:26 0 3ca6_appcompat.txt 23.07.2006 11:37 0 40876.dmp 03.01.2006 01:56 396.288 539f50.mst 17.09.2006 12:08 5.182 53c5_appcompat.txt 05.09.2006 17:06 16.294 53ef_appcompat.txt 03.01.2006 01:57 450.048 54c861.mst 23.07.2006 11:38 0 54EAC.dmp 20.07.2006 19:40 75 5711EF65.TMP 24.07.2006 09:38 5.182 5bed_appcompat.txt 24.07.2006 09:35 0 5cb4_appcompat.txt 23.07.2006 11:36 6.818 5e6a_appcompat.txt 27.07.2006 11:09 16.294 5f88_appcompat.txt 30.06.2005 22:13 294.912 5f9a.rra 09.07.2005 22:59 301 6.idx 30.06.2005 21:24 41.472 645e9.mst 24.07.2006 09:39 0 7BADC.dmp 28.07.2006 15:48 14.818 8681_appcompat.txt 05.11.2006 16:14 5.182 97f5_appcompat.txt 29.07.2006 22:10 421 a080.idx 06.12.2006 23:49 <DIR> a2temp 06.08.2006 15:29 5.182 a39d_appcompat.txt 02.07.2005 17:50 143.872 a86c6.mst 25.06.2002 13:50 4.879.820 aabef.msi 30.06.2005 21:28 27.780 AAX9C.tmp 12.10.2005 02:03 2.048.000 Acr1.tmp 26.04.2006 01:59 4.096.000 Acr11.tmp 04.10.2006 00:01 2.048.000 Acr124.tmp 29.01.2006 19:03 2.048.000 Acr14.tmp 16.04.2006 11:06 0 Acr18.tmp 01.08.2006 15:09 2.048.000 Acr19.tmp 19.11.2006 20:30 2.048.000 Acr2.tmp 24.08.2005 16:15 2.048.000 Acr28.tmp 06.04.2006 22:38 2.048.000 Acr2D.tmp 23.11.2006 02:42 2.048.000 Acr3.tmp 04.12.2005 12:35 2.048.000 Acr40.tmp 24.11.2005 13:29 2.048.000 Acr6.tmp 24.11.2006 11:04 2.048.000 AcrB.tmp 21.07.2006 21:26 6.818 ad67_appcompat.txt 02.09.2005 12:19 24.645 apocalypse_now_redux.idx 22.11.2005 17:06 341 auto-0012.idx 30.06.2005 21:24 41.472 b301.mst 08.07.2005 15:01 224 black_0003_5.idx 31.12.2005 18:58 606.208 blizzard.ax 17.08.2005 11:36 337 brittneyblue_06.idx 30.06.2005 21:47 24.700 BWInstall.log 30.06.2005 21:31 28.160 ce28a.mst 27.07.2005 23:35 1.239 christina_trailer.idx 09.08.2005 01:43 1.248 clip6.idx 31.05.2006 19:41 36.864 CmdLineExt02.dll 22.11.2005 17:59 353 commercial-0008.idx 22.11.2005 18:00 353 commercial-0011.idx 22.11.2005 18:02 353 commercial-0012.idx 22.11.2005 17:58 353 commercial-0013.idx 22.11.2005 17:57 353 commercial-0014.idx 22.11.2005 17:56 353 commercial-0016.idx 22.11.2005 17:55 353 commercial-0017.idx 22.11.2005 17:55 353 commercial-0019.idx 22.11.2005 17:51 353 commercial-0022.idx 22.11.2005 17:51 353 commercial-0023.idx 22.11.2005 17:50 353 commercial-0024.idx 22.11.2005 17:49 353 commercial-0030.idx 22.11.2005 17:48 353 commercial-0036.idx 22.11.2005 17:46 353 commercial-0042.idx 22.11.2005 17:45 353 commercial-0048.idx 22.11.2005 17:44 353 commercial-0049.idx 22.11.2005 17:43 353 commercial-0056.idx 22.11.2005 17:42 353 commercial-0058.idx 22.11.2005 17:41 353 commercial-0068.idx 22.11.2005 17:39 353 commercial-0070.idx 22.11.2005 17:37 353 commercial-0078.idx 22.11.2005 17:37 353 commercial-0083.idx 22.11.2005 17:34 353 commercial-0087.idx 22.11.2005 17:33 353 commercial-0089.idx 22.11.2005 17:32 353 commercial-0090.idx 22.11.2005 17:32 353 commercial-0091.idx 22.11.2005 17:36 353 commercial-0093.idx 22.11.2005 17:31 353 commercial-0096.idx 22.11.2005 17:30 353 commercial-0098.idx 29.11.2006 22:14 717 control.xml 30.06.2005 21:51 2.772 convert.dat 23.07.2006 11:34 220 d148_appcompat.txt 30.07.2006 19:21 5.182 dc55_appcompat.txt 23.07.2006 02:12 313 dream2.idx 27.07.2006 10:23 5.182 ebb2_appcompat.txt 21.07.2006 21:29 16.294 ee2f_appcompat.txt 01.06.2006 20:38 <DIR> Excel8.0 05.09.2006 16:36 5.182 f787_appcompat.txt 26.07.2006 15:08 1.904 fcd7_appcompat.txt 16.11.2006 01:02 0 fla1.tmp 16.11.2006 01:02 0 fla2.tmp 14.11.2006 15:37 0 fla28.tmp 16.11.2006 01:07 0 fla3.tmp 04.12.2006 01:45 0 fla39.tmp 16.11.2006 01:07 0 fla4.tmp 04.11.2006 23:45 0 fla41.tmp 19.11.2006 19:15 0 fla4A.tmp 16.11.2006 01:08 0 fla5.tmp 16.11.2006 01:09 0 fla6.tmp 16.11.2006 01:10 0 fla7.tmp 16.11.2006 01:11 0 fla8.tmp 16.11.2006 20:32 0 fla9.tmp 16.11.2006 20:32 0 flaA.tmp 16.11.2006 20:34 0 flaB.tmp 16.11.2006 20:35 0 flaC.tmp 06.11.2006 01:03 0 flaC2.tmp 23.11.2006 13:09 0 flaD.tmp 20.11.2006 00:27 0 flaD9.tmp 23.11.2006 13:10 0 flaE.tmp 31.10.2005 16:18 819.912 FlashPlayerUpdate.exe 22.11.2005 17:15 339 fun-0045.idx 22.11.2005 17:17 339 fun-0046.idx 22.11.2005 17:27 339 fun-0048.idx 22.11.2005 17:23 339 fun-0049.idx 22.11.2005 17:20 339 fun-0050.idx 22.11.2005 17:14 339 fun-0051.idx 22.11.2005 17:21 339 fun-0052.idx 22.11.2005 17:18 339 fun-0053.idx 22.11.2005 17:11 339 fun-0057.idx 31.05.2006 21:28 1.896 gangland45_x1.idx 13.06.2006 15:22 304 GLF10.VBS 30.06.2006 07:19 585.216 GoogleInstall.dll 26.09.2005 09:37 242.421 GRD$LOGFILE.LOG 25.06.2006 18:14 45.056 gtapi.dll 29.10.2006 20:30 0 h2r5C.tmp 05.07.2005 10:03 0 h2r7C.tmp 11.08.2005 15:21 614 Hooters.idx 25.07.2002 03:07 346.602 IEC9.tmp 01.02.2002 17:23 344.923 IECC9.tmp 05.12.2006 23:39 2.036 IMT1.xml 05.07.2005 08:19 2.036 IMT1B.xml 05.07.2005 08:19 426 IMT1C.xml 05.07.2005 08:19 798.234 IMT1D.xml 05.12.2006 23:39 426 IMT2.xml 05.12.2006 23:41 2.036 IMT21.xml 05.12.2006 23:41 426 IMT22.xml 05.12.2006 23:41 798.234 IMT23.xml 05.12.2006 23:42 2.036 IMT24.xml 05.12.2006 23:42 426 IMT25.xml 05.12.2006 23:42 798.234 IMT26.xml 05.12.2006 23:39 798.234 IMT3.xml 31.07.2005 18:51 12.537 IMT9.csv 31.07.2005 18:51 12.537 IMTA.csv 16.07.2005 22:27 2.036 IMTD.xml 16.07.2005 22:27 426 IMTE.xml 16.07.2005 22:27 798.234 IMTF.xml 31.07.2005 18:28 1.248 ines1.idx 31.07.2005 18:37 1.248 ineskorytarz3.idx 30.06.2005 21:47 <DIR> ins1.tmp 02.09.2004 16:40 57.344 InstHelp.dll 31.05.2006 20:20 <DIR> isp17.tmp 31.05.2006 20:25 <DIR> isp26.tmp 31.05.2006 20:08 <DIR> isp8.tmp 22.11.2005 18:17 343 japan-0002.idx 22.11.2005 18:13 343 japan-0005.idx 22.11.2005 18:14 343 japan-0006.idx 22.11.2005 18:16 343 japan-0013.idx 22.11.2005 17:09 343 japan-0015.idx 02.07.2005 17:51 23.928 java_install.log 05.07.2005 08:08 3.762 jusched.log 06.07.2005 16:09 843 kmdb.html 05.12.2006 11:58 29.216 laf3D.tmp 05.10.2005 13:52 9 LastWork.txt 20.10.2006 14:07 291 lexi.idx 23.07.2006 02:15 336 magic1.idx 22.02.2006 15:09 0 mka22.tmp 22.11.2005 17:07 355 motorraeder-0007.idx 10.10.2006 11:09 300 MOV05175.idx 01.07.2005 19:12 196.654 ms1235.tmp 01.07.2005 19:16 4.944 ms1630.tmp 01.07.2005 19:16 4.944 ms1635.tmp 01.07.2005 19:16 12.839 ms1646.tmp 01.07.2005 19:16 12.839 ms1655.tmp 05.07.2005 11:51 3.734 msiutil(1).log 01.10.2006 01:46 68.096 msoCC7C4.doc 14.11.2006 00:32 25 myst0720.idx 10.08.2005 15:22 54.397 nyomi_clip10.idx 05.07.2005 09:53 45.886 offcln10.log 05.07.2005 09:57 3.523 Office XP Professional mit FrontPage Setup(0001).txt 05.07.2005 09:57 13.188.478 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt 06.06.2006 09:52 220 OUCH.idx 02.08.2006 11:28 661 party267.idx 19.08.2005 13:28 472.345 pf3425931982.tmp 04.07.2005 12:29 <DIR> pft1~tmp 30.06.2005 22:07 <DIR> pftEE~tmp 10.09.2006 20:24 812 PrePict.htm 03.01.2006 01:57 852 QTInstallCode.log 03.01.2006 01:57 1.014 qtplugin.log 29.10.2006 20:30 139 r2h5B.tmp 08.03.2006 19:48 2.118 Rising_sun.idx 30.06.2005 21:48 11.139 rnlog.txt 05.09.2001 06:03 168.448 Set1.tmp 01.10.2004 01:40 118.736 Set13.tmp 05.09.2001 06:03 168.448 Set2.tmp 01.10.2004 01:40 118.736 Set22.tmp 05.09.2001 06:03 168.448 Set3.tmp 01.10.2004 01:40 118.736 Set4.tmp 11.04.2001 16:28 54.784 Set5.tmp 05.09.2001 06:03 168.448 SetAC.tmp 04.08.2004 08:58 299.520 setb0.tmp 04.08.2004 08:57 230.400 setb1.tmp 04.08.2004 08:57 151.552 setb2.tmp 04.08.2004 08:58 2.105.344 setb3.tmp 04.08.2004 08:57 102.400 setb4.tmp 04.08.2004 08:58 778.240 setup_wm.exe 30.06.2005 21:40 2.356 SigmaTel MSCN Audio Player.log 31.05.2006 19:42 12.067 SIntf16.dll 31.05.2006 19:42 19.924 SIntf32.dll 31.05.2006 19:42 4.592 SIntfIcn.ani 31.05.2006 19:42 24.516 SIntfNT.dll 22.11.2005 18:11 343 sport-0008.idx 22.11.2005 18:10 343 sport-0011.idx 22.11.2005 18:10 343 sport-0012.idx 05.07.2006 10:23 151 swtmp.htm 16.10.2005 17:22 306 SYDARTA1.idx 17.03.2006 16:23 1.435.652 teletubbies.idx 17.03.2006 16:25 1.334.272 teletubbies.sub 22.11.2005 18:08 339 tierisch-0017.idx 22.11.2005 18:05 339 tierisch-0025.idx 22.11.2005 18:04 339 tierisch-0027.idx 20.10.2006 14:08 293 tiffany.idx 27.05.2006 15:08 2.179 TWAIN.LOG 27.05.2006 14:24 3 Twain001.Mtx 27.05.2006 14:24 156 Twunk001.MTX 09.03.2006 22:33 0 Twunk002.MTX 08.10.2006 11:30 3.930 U3Launcher.log 16.10.2005 16:58 627 up1.idx 23.08.2005 21:48 <DIR> VBE 22.10.2005 14:57 634 video04.idx 18.06.2002 01:27 299.008 war3_Install.exe 01.07.2005 16:56 <DIR> WER1.tmp.dir00 02.07.2005 17:34 <DIR> WER2.tmp.dir00 02.07.2005 17:34 <DIR> WER3.tmp.dir00 02.07.2005 17:35 <DIR> WER4.tmp.dir00 02.07.2005 17:34 0 WER5.tmp 02.07.2005 17:35 <DIR> WER5.tmp.dir00 11.10.2006 04:39 310 Wifey-7-KnuckleBust-2.idx 30.06.2005 21:24 <DIR> ws 08.07.2006 13:07 0 _in44.tmp 08.07.2006 13:07 0 _in45.tmp 31.05.2006 20:34 1.082 _isdelet.ini 30.06.2005 21:29 <DIR> _ISTMP1.DIR 30.06.2005 21:37 <DIR> _ISTMP2.DIR 30.06.2005 21:49 <DIR> _ISTMP3.DIR 19.10.2005 15:48 45.096 _VWUPSRV.EXE 31.01.2006 12:20 512 ~DF1B1.tmp 31.01.2006 11:57 512 ~DFD0E4.tmp 09.06.2006 14:46 98.304 ~DFD823.tmp 250 Datei(en) 71.196.855 Bytes 20 Verzeichnis(se), 295.178.240 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\WINDOWS\Temp 06.12.2006 23:43 <DIR> . 06.12.2006 23:43 <DIR> .. 30.06.2005 21:30 <DIR> FUJIUSBDRV 30.06.2005 21:46 <DIR> InstHelper 30.06.2005 21:46 53.248 InstHelper.dll 30.06.2005 21:46 432 launcher.log 30.06.2005 21:53 4.986 Lqdsw.log 29.04.2002 00:52 32.023 OLD7.tmp 4 Datei(en) 90.689 Bytes 4 Verzeichnis(se), 295.182.336 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Programme 06.12.2006 23:46 <DIR> . 06.12.2006 23:46 <DIR> .. 06.12.2006 01:18 <DIR> a-squared Free 30.06.2005 21:28 <DIR> Adobe 19.08.2005 12:07 <DIR> Ahead 05.05.2006 23:02 <DIR> AntiVir PersonalEdition Classic 20.07.2005 23:00 <DIR> AT-AR215 06.12.2006 23:46 <DIR> CleanUp! 30.06.2005 21:06 <DIR> ComPlus Applications 30.06.2005 22:00 <DIR> CyberLink 30.06.2005 22:05 <DIR> DFš-Speed 30.06.2005 21:48 <DIR> directx 05.07.2005 09:54 <DIR> Gemeinsame Dateien 04.08.2005 10:33 <DIR> Globus 10.08.2005 15:41 <DIR> Internet Explorer 03.01.2006 01:56 <DIR> iPod 03.01.2006 01:56 <DIR> iTunes 02.07.2005 17:51 <DIR> Java 01.06.2006 21:56 <DIR> JoinSaw 06.07.2005 16:10 <DIR> Kazaa Lite 09.07.2005 20:12 <DIR> Kazaa Lite K++ 30.06.2005 22:08 <DIR> Lavasoft 30.06.2005 21:48 <DIR> Logitech 03.07.2005 23:26 <DIR> messenger 30.06.2005 21:11 <DIR> microsoft frontpage 05.07.2005 09:54 <DIR> Microsoft Visual Studio 03.07.2005 11:49 <DIR> Movie Maker 30.06.2005 21:05 <DIR> MSN 26.03.2006 10:37 <DIR> MSN Games 30.06.2005 21:05 <DIR> MSN Gaming Zone 03.07.2005 11:39 <DIR> NetMeeting 30.06.2005 21:05 <DIR> Online Services 30.06.2005 21:08 <DIR> Online-Dienste 06.12.2006 23:49 <DIR> Opera75 03.07.2005 11:38 <DIR> Outlook Express 03.01.2006 01:57 <DIR> QuickTime 30.06.2005 21:30 <DIR> REGSHAVE 26.10.2006 23:04 <DIR> Rundum-Betrachter-innoPlus 30.06.2005 21:24 <DIR> Siemens Data Suite 30.06.2005 21:40 <DIR> SigmaTel 02.07.2005 17:43 <DIR> Tsunami-Filter-Pack 30.06.2005 22:03 <DIR> VideoLAN 30.06.2005 21:48 <DIR> Windows Media Components 13.07.2005 16:18 <DIR> Windows Media Player 03.07.2005 11:38 <DIR> Windows NT 06.07.2005 15:58 <DIR> WinMX 30.06.2005 21:11 <DIR> xerox 12.06.2006 23:19 <DIR> Yahoo! 0 Datei(en) 0 Bytes 48 Verzeichnis(se), 295.178.240 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Lokale Einstellungen\Anwendungsdaten 03.01.2006 01:57 <DIR> Apple Computer 29.11.2006 21:57 79.360 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 05.07.2005 11:16 20.336 GDIPFONTCACHEV1.DAT 30.12.2005 03:14 <DIR> Help 30.06.2005 22:26 <DIR> Identities 24.10.2006 12:09 <DIR> Microsoft 02.07.2005 17:50 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142010} 2 Datei(en) 99.696 Bytes 5 Verzeichnis(se), 295.178.240 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Anwendungsdaten 30.06.2005 21:28 <DIR> Adobe 19.08.2005 12:21 <DIR> Ahead 03.01.2006 02:06 <DIR> Apple Computer 30.06.2005 21:48 <DIR> FotoWire 30.06.2005 21:54 <DIR> FUJIFILM 05.07.2005 10:00 20.336 GDIPFONTCACHEV1.DAT 09.03.2006 22:36 <DIR> Help 30.06.2005 21:18 <DIR> Identities 30.06.2005 21:28 <DIR> InterTrust 06.07.2005 16:19 <DIR> Kazaa Lite 02.07.2005 22:57 <DIR> Lavasoft 05.07.2006 10:23 <DIR> Macromedia 30.06.2005 22:28 <DIR> MSN6 02.07.2005 17:51 <DIR> Opera 02.07.2005 17:51 <DIR> Sun 08.10.2006 11:31 <DIR> U3 01.07.2005 21:20 <DIR> vlc 1 Datei(en) 20.336 Bytes 16 Verzeichnis(se), 295.178.240 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 16.02.2006 01:07 305 addr_file.html 05.12.2006 00:09 <DIR> AntiVir PersonalEdition Classic 03.01.2006 01:55 <DIR> Apple Computer 30.06.2005 22:00 <DIR> CyberLink 30.06.2005 22:28 <DIR> MSN6 30.06.2005 21:31 <DIR> QuickTime 1 Datei(en) 305 Bytes 5 Verzeichnis(se), 295.174.144 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Programme\Gemeinsame Dateien 05.07.2005 09:54 <DIR> . 05.07.2005 09:54 <DIR> .. 30.06.2005 21:37 <DIR> Adobe 19.08.2005 12:05 <DIR> Ahead 05.07.2005 09:54 <DIR> Designer 30.06.2005 21:07 <DIR> Dienste 30.06.2005 21:48 <DIR> FotoWire 31.05.2006 20:08 <DIR> InstallShield 02.07.2005 17:50 <DIR> Java 30.06.2005 21:49 <DIR> Logitech 05.07.2005 09:55 <DIR> Microsoft Shared 30.06.2005 21:07 <DIR> MSSoap 30.06.2005 21:45 <DIR> ODBC 30.06.2005 21:53 <DIR> Real 30.06.2005 21:24 <DIR> Siemens AG Shared 30.06.2005 21:45 <DIR> SpeechEngines 09.06.2006 14:46 <DIR> SWF Studio 05.07.2005 09:54 <DIR> System 0 Datei(en) 0 Bytes 18 Verzeichnis(se), 295.174.144 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F8FE-E7A3 Verzeichnis von C:\Windows\tasks 29.12.2005 15:21 426 hochzeit.job 1 Datei(en) 426 Bytes 0 Verzeichnis(se), 295.174.144 Bytes frei |
|
|
||
07.12.2006, 00:25
Ehrenmitglied
Beiträge: 29434 |
#24
jürgen1972
ich will dir erklaeren, was ich mache: den verseuchten Codec bekommt man mit einem mausklick geloescht - aber auf dem rechner ist auch ein backdoor - den suche ich Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Network Access in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) winssh in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Hardware Clock Driver in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) hwclock in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2006, 00:50
Member
Beiträge: 17 |
#25
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 07.12.2006 00:52:46 for strings: ; 'network access' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6BC098A0-0CE6-11D1-BAAE-00C04FC2E20D}\1.0] @="IAS Network Access Policy 1.0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Network Access] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Network Access"="winssh.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\OLE] "Network Access"="winssh.exe" [HKEY_USERS\S-1-5-21-842925246-1708537768-1060284298-1003\Software\Microsoft\OLE] "Network Access"="winssh.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\OLE] "Network Access"="winssh.exe" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 07.12.2006 00:54:58 for strings: ; 'winssh' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Network Access] "item"="winssh" "command"="winssh.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Network Access"="winssh.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\winssh.exe"="C:\\WINDOWS\\system32\\winssh.exe:*:Enabled:winssh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\winssh.exe"="C:\\WINDOWS\\system32\\winssh.exe:*:Enabled:winssh" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\winssh.exe"="C:\\WINDOWS\\system32\\winssh.exe:*:Enabled:winssh" [HKEY_USERS\.DEFAULT\Software\Microsoft\OLE] "Network Access"="winssh.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\WINDOWS\\system32\\winssh.exe"="winssh" [HKEY_USERS\S-1-5-21-842925246-1708537768-1060284298-1003\Software\Microsoft\OLE] "Network Access"="winssh.exe" [HKEY_USERS\S-1-5-21-842925246-1708537768-1060284298-1003\Software\Microsoft\Search Assistant\ACMru\5603] "019"="winssh" [HKEY_USERS\S-1-5-18\Software\Microsoft\OLE] "Network Access"="winssh.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\WINDOWS\\system32\\winssh.exe"="winssh" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 07.12.2006 00:57:12 for strings: ; 'hardware clock driver' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000] "DeviceDesc"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock] "DisplayName"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK\0000] "DeviceDesc"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock] "DisplayName"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000] "DeviceDesc"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock] "DisplayName"="Hardware Clock Driver" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 07.12.2006 00:58:39 for strings: ; 'hwclock' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000] "Service"="hwclock" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock] ; Contents of value: ; c:\windows\system32\hwclock.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 68,77,63,6c,6f,63,6b,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum] "0"="Root\\LEGACY_HWCLOCK\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK\0000] "Service"="hwclock" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock] ; Contents of value: ; c:\windows\system32\hwclock.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 68,77,63,6c,6f,63,6b,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000] "Service"="hwclock" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock] ; Contents of value: ; c:\windows\system32\hwclock.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 68,77,63,6c,6f,63,6b,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum] "0"="Root\\LEGACY_HWCLOCK\\0000" ; End Of The Log... ich hoffe das war richtig so gruss jürgen |
|
|
||
07.12.2006, 01:13
Ehrenmitglied
Beiträge: 29434 |
#26
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4______________________________________________________________ Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html _________________________________________________________ »» wende Cleanup an http://virus-protect.org/cleanup.html »» scanne und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2006, 01:29
Member
Beiträge: 17 |
#27
Sabina postete
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Hi, wenn ich das gemacht habe und ja eingegeben habe kann ich dann wieder in den normalen modus wechsln? wär besser sonst muss ich vorher alles kopieren was ich machen muss... gruss jürgen |
|
|
||
07.12.2006, 02:45
Ehrenmitglied
Beiträge: 29434 |
#28
ja, danach kannst /musst du wieder in den normalmodus wechseln, um den avenger anzuwenden
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2006, 12:16
Member
Beiträge: 17 |
#29
Hi,
so, das dreieck is weg! nun wollte ich SmitfraudFix ausführen und habe die exe SmitfraudFix.cmd ausführen wollen aber der editor der auf geht is rot und schreibt was von cscriptfehler und auf diesem pc wäre windows script host deaktiviert und der befehl "SetPaths.bat ist falsch geschrieben oder konnte nicht gefunden werden. habe das backup auch bereits gelöscht. Gruss jürgen |
|
|
||
07.12.2006, 12:18
Ehrenmitglied
Beiträge: 29434 |
#30
Variante 1: falls xpantispy installiert ist, dort den Windows Script Host freischalten
Hosts freischalten - mit dem xp-antispy Starten ==> unter "Diverse Einstellungen" [ ] Windows Scripting Host deaktivieren Davor den Haken wegnehmen und unten auf "Einstellungen Uebernehmen" klicken. Variante 2: Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten) _________ scanne mit Smitfraudfix und Dr.web und poste beide scanreporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
arbeite das avengerscript und smitfraudfix ab
http://virus-protect.org/artikel/spyware/videoactivexobject.html
die Meldung wird verschwunden sein, aber ich sehe noch andere viren auf dem Rechner - deshalb:
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina
rund um die PC-Sicherheit