TR/Dldr.Swizzor.Gen

#151 thewolf

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked

Zitat

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O4 - HKCU\..\Run: [Pure title] C:\DOKUME~1\MISTER~1\ANWEND~1\EACHVC~1\Burn cool.exe

-----------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Files to delete:
C:\WINDOWS\tasks\B26E3E3D9229BBF9.job

Folders to delete:
C:\Programme\NetPumper
C:\Programme\NavExcel
C:\Programme\Anti-Leech
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ford hold ante hole
C:\Dokumente und Einstellungen\misterwolf\Anwendungsdaten\EachVcBody
C:\Dokumente und Einstellungen\misterwolf\Anwendungsdaten\NetPumper

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

----
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 1

1 : es wird a-squared geladen
3. full scan (heuristic/riskware scanning enabled) - scanne
__________
MfG Sabina

rund um die PC-Sicherheit

#152 jep, danke, alles erledigt

#153 Hi, hab hier laut avira antivir auch den TR/dldr.swizzor.gen Trojaner eingefangen.

Hier das Log File von combofix:

Zitat

"chlini" - 07-03-20 18:25:02 Service Pack 2
ComboFix 07-03-20.2 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\install.log


((((((((((((((((((((((((((((((( Files Created from 2007-02-20 to 2007-03-20 ))))))))))))))))))))))))))))))))))


2007-03-19 22:52 <DIR> d-------- C:\Programme\TuneUp Utilities 2006
2007-03-19 22:52 <DIR> d-------- C:\DOKUME~1\chlini\ANWEND~1\TuneUp Software
2007-03-19 22:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-03-19 22:50 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-03-19 17:23 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-03-19 17:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Anti-Virus Personal
2007-03-05 20:26 5,504 --a------ C:\WINDOWS\system32\drivers\imagedrv.sys
2007-03-05 20:26 125,184 --a------ C:\WINDOWS\system32\drivers\imagesrv.sys
2007-03-05 20:22 569,344 --a------ C:\WINDOWS\system32\imagr5.dll
2007-03-05 20:22 544,768 --a------ C:\WINDOWS\system32\imagx5.dll
2007-03-05 20:22 283,920 --a------ C:\WINDOWS\system32\ImagXpr5.dll
2007-03-05 20:22 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-03-05 20:22 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-03-05 20:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-03-05 20:22 <DIR> d-------- C:\Programme\Ahead
2007-03-04 20:41 <DIR> d-------- C:\DOKUME~1\chlini\ANWEND~1\Sony Corporation
2007-03-04 20:29 6,097 --a------ C:\WINDOWS\system32\drivers\sonyhcb.sys
2007-03-04 20:29 53,248 --a------ C:\WINDOWS\system32\SONYHCY.DLL
2007-03-04 20:29 38,739 --a------ C:\WINDOWS\system32\drivers\sonyhcc.sys
2007-03-04 20:29 3,654 --a------ C:\WINDOWS\system32\drivers\Sonyhcp.dll
2007-03-04 20:29 299,923 --a------ C:\WINDOWS\system32\drivers\sonyhcs.sys
2007-03-04 20:29 102,220 --a------ C:\WINDOWS\system32\drivers\sonypvs1.sys
2007-03-04 20:29 <DIR> d-------- C:\Drivers
2007-03-04 20:28 2,560 --a------ C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-03-04 20:28 2,432 --a------ C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-03-04 20:28 118,520 --a------ C:\WINDOWS\system32\PxInsI64.exe
2007-03-04 20:28 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe
2007-03-04 20:24 <DIR> d-------- C:\Programme\Sony


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-19 23:43 12 --a------ C:\WINDOWS\bthservsdp.dat
2007-03-19 22:52 -------- d-------- C:\Programme\tuneup utilities 2006
2007-03-19 22:52 -------- d-------- C:\DOKUME~1\chlini\ANWEND~1\tuneup software
2007-03-19 17:23 -------- d-------- C:\Programme\kaspersky lab
2007-03-05 20:22 -------- d-------- C:\Programme\ahead
2007-01-08 19:01 17408 --a------ C:\WINDOWS\system32\corpol.dll
2006-12-31 11:22 46128 --a------ C:\WINDOWS\system32\dllprf32.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\" /WinStart"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"EPM-DM"="c:\\acer\\epm\\epm-dm.exe"
"ePowerManagement"="C:\\Acer\\ePM\\ePM.exe boot"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"U.S. Robotics Wireless Manager UI"="C:\\WINDOWS\\system32\\WLTRAY"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"KAVPersonal50"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kav.exe\" /minimize"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"LManager"="C:\\Programme\\Launch Manager\\QtZgAcer.EXE"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\1-Klick-Wartung.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-20 18:29:27

HijackThis 1.99 Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 18:56:59, on 20.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUMENTE UND EINSTELLUNGEN\CHLINI\DESKTOP\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Hier die 6 Logs von datfind.bat

Zitat

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

20.03.2007 18:06 1'158 wpa.dbl
07.03.2007 21:36 12'619'736 MRT.exe
16.02.2007 20:15 122'142 TZLog.log
15.02.2007 18:01 337'280 WgaTray.exe
15.02.2007 18:01 1'476'992 LegitCheckControl.dll
15.02.2007 18:00 236'928 WgaLogon.dll
29.01.2007 09:58 60'416 tzchange.exe
23.01.2007 20:30 546'304 hhctrl.ocx
21.01.2007 15:22 9'074 jupdate-1.5.0_10-b03.log
12.01.2007 09:27 670'720 mstime.dll
12.01.2007 09:27 477'696 mshtmled.dll
12.01.2007 09:27 3'580'416 mshtml.dll
12.01.2007 09:27 6'054'400 ieframe.dll
12.01.2007 09:27 51'712 msfeedsbs.dll
12.01.2007 09:27 132'608 extmgr.dll
12.01.2007 09:27 822'784 wininet.dll
12.01.2007 09:27 458'752 msfeeds.dll
12.01.2007 09:27 1'149'952 urlmon.dll
12.01.2007 09:27 27'136 jsproxy.dll
12.01.2007 09:27 232'960 webcheck.dll
10.01.2007 17:42 1'040'384 ieframe.dll.mui
08.01.2007 19:04 105'984 url.dll
08.01.2007 19:04 102'400 occache.dll
08.01.2007 19:03 193'024 msrating.dll
08.01.2007 19:02 1'823'744 inetcpl.cpl
08.01.2007 19:02 44'544 iernonce.dll
08.01.2007 19:02 266'752 iertutil.dll
08.01.2007 19:02 384'000 iedkcs32.dll
08.01.2007 19:02 161'792 ieakui.dll
08.01.2007 19:02 383'488 ieapfltr.dll
08.01.2007 19:02 230'400 ieaksie.dll
08.01.2007 19:02 153'088 ieakeng.dll
08.01.2007 19:01 17'408 corpol.dll
08.01.2007 19:00 124'928 advpack.dll
08.01.2007 18:08 56'832 ie4uinit.exe
08.01.2007 18:08 13'824 ieudinit.exe
31.12.2006 11:22 46'128 DLLPRF32.DAT
19.12.2006 22:49 135'168 shsvcs.dll
19.12.2006 22:49 8'494'592 shell32.dll
19.12.2006 19:21 2'059'904 ntkrnlpa.exe
19.12.2006 19:21 2'182'656 ntoskrnl.exe
19.12.2006 19:17 334'336 wiaservc.dll

----------------------------------------------------

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\chlini\LOKALE~1\Temp

20.03.2007 19:06 289 datFind.zip
20.03.2007 18:56 16'384 ~DF2A59.tmp
20.03.2007 18:48 127'378 avenger.zip
3 Datei(en) 144'051 Bytes
0 Verzeichnis(se), 12'231'950'336 Bytes frei

------------------------------------------------------

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

20.03.2007 18:06 4'456 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
20.03.2007 18:06 159 wiadebug.log
20.03.2007 18:06 0 0.log
20.03.2007 18:05 2'048 bootstat.dat
19.03.2007 23:43 1'249'739 WindowsUpdate.log
19.03.2007 23:43 32'500 SchedLgU.Txt
19.03.2007 23:43 50 wiaservc.log
19.03.2007 23:43 12 bthservsdp.dat
19.03.2007 18:10 9'415 spupdsvc.log
19.03.2007 18:05 1'374 imsins.log
19.03.2007 18:05 40'203 ocmsn.log
19.03.2007 18:05 114'615 iis6.log
19.03.2007 18:05 771'475 FaxSetup.log
19.03.2007 18:05 36'965 msgsocm.log
19.03.2007 18:05 264'538 comsetup.log
19.03.2007 18:05 919'289 setupapi.log
19.03.2007 18:05 15'796 KB929338.log
19.03.2007 18:05 288'637 tsoc.log
19.03.2007 18:05 158'509 ntdtcsetup.log
19.03.2007 18:05 364'504 ocgen.log
19.03.2007 18:04 30'546 WgaNotify.log
19.03.2007 18:04 77'682 updspapi.log
25.02.2007 21:47 9'588 ModemLog_Motorola USB Modem #2.txt
25.02.2007 20:32 33'361 wmsetup.log
16.02.2007 20:16 31'841 KB927779.log
16.02.2007 20:16 1'374 imsins.BAK
16.02.2007 20:16 28'713 KB927802.log
16.02.2007 20:16 28'570 KB928255.log
16.02.2007 20:15 25'002 KB924667.log
16.02.2007 20:15 36'839 KB931836.log
16.02.2007 20:15 26'345 KB926436.log
16.02.2007 20:15 17'068 KB928090-IE7.log
16.02.2007 20:14 21'469 KB918118.log
16.02.2007 20:12 20'268 KB928843.log
06.02.2007 22:08 13'044 ModemLog_Motorola USB Modem.txt
13.01.2007 03:01 4'430 KB929969.log
02.01.2007 21:26 24'986 ie7_main.log
02.01.2007 21:25 63'421 ie7.log
02.01.2007 21:22 14'093 IDNMitigationAPIs.log
02.01.2007 21:22 13'782 NLSDownlevelMapping.log
02.01.2007 21:21 11'130 KB915865.log
02.01.2007 21:20 5'624 KB914440.log
02.01.2007 21:20 33'099 KB925454.log
02.01.2007 21:19 10'927 KB904942.log
14.12.2006 03:04 11'886 KB925398.log
14.12.2006 03:03 12'911 KB923689.log
14.12.2006 03:02 14'211 KB926255.log
14.12.2006 03:02 14'162 KB923694.log

------------------------------------------------------------

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

------------------------------------------------------------

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5'019 swflash.inf
17.09.2004 14:06 65 desktop.ini
2 Datei(en) 5'084 Bytes
0 Verzeichnis(se), 12'231'802'880 Bytes frei

-------------------------------------------------------------

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

20.03.2007 19:09 0 sys.txt
20.03.2007 19:09 336 down.txt
20.03.2007 19:09 108 tmp.txt
20.03.2007 19:09 13'265 system.txt
20.03.2007 19:09 382 systemtemp.txt
20.03.2007 19:07 111'737 system32.txt
20.03.2007 18:29 6'755 ComboFix.txt
20.03.2007 18:05 518'508'544 hiberfil.sys
20.03.2007 18:05 780'140'544 pagefile.sys
18.08.2006 20:06 2 wizard.txt

Ich bin für jede Hilfe dankbar!

MfG Riedle

#154 riedle

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#155 listen.bat:

Zitat

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Programme

17.09.2004 13:39 <DIR> .
17.09.2004 13:39 <DIR> ..
17.09.2004 13:39 <DIR> Gemeinsame Dateien
17.09.2004 13:43 <DIR> Windows NT
17.09.2004 13:43 <DIR> MSN
17.09.2004 13:43 <DIR> MSN Gaming Zone
17.09.2004 13:43 <DIR> Messenger
17.09.2004 13:44 <DIR> Windows Media Player
17.09.2004 13:44 <DIR> Online Services
17.09.2004 13:44 <DIR> ComPlus Applications
17.09.2004 14:05 <DIR> Internet Explorer
17.09.2004 14:05 <DIR> Outlook Express
17.09.2004 14:05 <DIR> NetMeeting
17.09.2004 14:05 <DIR> Movie Maker
17.09.2004 14:06 <DIR> Online-Dienste
17.09.2004 14:07 <DIR> microsoft frontpage
17.09.2004 14:07 <DIR> xerox
17.09.2004 14:12 <DIR> Intel
17.09.2004 14:15 <DIR> CONEXANT
17.09.2004 14:17 <DIR> Synaptics
17.09.2004 14:18 <DIR> Acer Inc
17.09.2004 14:20 <DIR> CyberLink
17.09.2004 14:21 <DIR> NewTech Infosystems
17.09.2004 14:25 <DIR> Adobe
16.03.2005 21:30 <DIR> Launch Manager
16.03.2005 21:39 <DIR> Symantec
16.03.2005 21:39 <DIR> Norton AntiVirus
16.03.2005 22:18 <DIR> Auralog
22.10.2006 19:06 <DIR> Adverts
16.03.2005 22:24 <DIR> eGames
16.03.2005 22:55 <DIR> Spiele
22.03.2006 22:17 <DIR> MSN Messenger
27.04.2006 18:53 <DIR> DrTax
22.03.2006 22:33 <DIR> MSN Apps
27.04.2006 18:53 <DIR> DrTaxComponents
07.05.2006 19:36 <DIR> AntiVir PersonalEdition Classic
30.09.2006 19:36 <DIR> BitTorrent
02.08.2006 16:53 <DIR> LGGSM
16.03.2005 18:49 <DIR> Programme Niggi
16.03.2005 18:52 <DIR> WinRAR
16.03.2005 19:50 <DIR> Java
10.10.2006 15:25 <DIR> Motorola Phone Tools
29.08.2006 20:31 <DIR> PC Camera
29.08.2006 20:31 <DIR> Common Files
10.10.2006 15:27 <DIR> Avanquest update
22.10.2006 19:06 <DIR> MessengerPlus! 3
09.02.2007 21:31 <DIR> Else plus
16.11.2006 03:02 <DIR> MSXML 4.0
20.03.2005 10:08 <DIR> Winamp
03.12.2006 20:26 <DIR> Real
04.03.2007 20:25 <DIR> Sony
05.03.2007 20:22 <DIR> Ahead
19.03.2007 17:23 <DIR> Kaspersky Lab
19.03.2007 22:52 <DIR> TuneUp Utilities 2006
30.03.2005 12:25 <DIR> ArcSoft
30.03.2005 12:25 <DIR> QuickTime
30.03.2005 12:26 <DIR> Nikon
31.03.2005 22:02 <DIR> Sitecom
15.04.2005 18:24 5'095'648 Firefox Setup 1.0.3.exe
24.05.2005 21:42 <DIR> Mozilla Firefox
22.06.2005 10:47 <DIR> Kodak
01.07.2005 11:54 <DIR> Lavasoft
02.07.2005 09:09 <DIR> Microsoft Office
02.07.2005 09:12 <DIR> Microsoft.NET
05.07.2005 12:31 <DIR> MAGIX Online Druck Service
16.08.2005 17:05 <DIR> Samsung
08.12.2005 19:42 <DIR> U.S. Robotics
1 Datei(en) 5'095'648 Bytes
66 Verzeichnis(se), 12'227'067'904 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\chlini\Lokale Einstellungen\Anwendungsdaten

16.03.2005 21:28 <DIR> .
16.03.2005 21:28 <DIR> ..
17.09.2004 14:07 <DIR> Microsoft
17.06.2006 22:40 64'840 GDIPFONTCACHEV1.DAT
16.03.2005 16:41 <DIR> Help
30.03.2005 12:30 <DIR> Pixology
19.07.2005 19:40 <DIR> Adobe
30.10.2006 22:04 10'240 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10.10.2006 15:28 <DIR> BVRP Software
03.12.2006 20:26 <DIR> Google
2 Datei(en) 75'080 Bytes
8 Verzeichnis(se), 12'227'067'904 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\chlini\Anwendungsdaten

16.03.2005 21:28 <DIR> .
16.03.2005 21:28 <DIR> ..
17.09.2004 14:13 <DIR> Identities
16.03.2005 21:39 <DIR> Symantec
16.03.2005 16:41 <DIR> Help
16.03.2005 18:45 <DIR> Macromedia
16.03.2005 19:53 <DIR> Sun
20.03.2005 18:40 <DIR> Adobe
30.03.2005 12:27 <DIR> Nikon
30.03.2005 14:53 <DIR> ArcSoft
24.05.2005 21:42 <DIR> Mozilla
24.05.2005 21:43 <DIR> Talkback
01.07.2005 11:54 <DIR> Lavasoft
05.07.2005 12:32 <DIR> MAGIX
19.07.2005 19:40 <DIR> AdobeUM
02.08.2006 13:35 <DIR> BitTorrent
22.10.2006 19:06 <DIR> Else plus
03.12.2006 20:25 <DIR> Real
09.02.2007 21:31 <DIR> EQFILEARMY
04.03.2007 20:41 <DIR> Sony Corporation
19.03.2007 22:52 <DIR> TuneUp Software
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 12'227'067'904 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

17.09.2004 13:59 <DIR> .
17.09.2004 13:59 <DIR> ..
17.09.2004 14:20 <DIR> CyberLink
16.03.2005 21:39 <DIR> Symantec
30.03.2005 12:25 <DIR> QuickTime
22.06.2005 10:46 <DIR> Kodak
07.05.2006 19:32 <DIR> AntiVir PersonalEdition Classic
07.05.2006 19:37 305 addr_file.html
14.06.2006 21:48 <DIR> Adobe
16.09.2006 13:25 <DIR> Windows Genuine Advantage
10.10.2006 15:25 <DIR> BVRP Software
22.10.2006 19:06 <DIR> Messenger Plus!
22.10.2006 19:06 <DIR> CreativeCityLoadNoun
19.03.2007 17:23 <DIR> Kaspersky Anti-Virus Personal
19.03.2007 22:50 <DIR> TuneUp Software
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 12'227'067'904 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Programme\Gemeinsame Dateien

17.09.2004 13:39 <DIR> .
17.09.2004 13:39 <DIR> ..
17.09.2004 13:39 <DIR> Microsoft Shared
17.09.2004 13:39 <DIR> SpeechEngines
17.09.2004 13:39 <DIR> ODBC
17.09.2004 14:05 <DIR> System
17.09.2004 14:05 <DIR> MSSoap
17.09.2004 14:05 <DIR> Dienste
17.09.2004 14:11 <DIR> InstallShield
16.03.2005 21:39 <DIR> Symantec Shared
16.03.2005 19:48 <DIR> Java
20.03.2005 18:40 <DIR> Adobe
30.03.2005 12:23 <DIR> Nikon
22.06.2005 10:48 <DIR> Kodak
02.07.2005 09:10 <DIR> DESIGNER
05.07.2005 12:29 <DIR> MAGIX Shared
22.09.2005 19:10 <DIR> Teleca Shared
03.12.2006 20:26 <DIR> Real
03.12.2006 20:26 <DIR> xing shared
05.03.2007 20:22 <DIR> Ahead
19.03.2007 22:50 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 12'227'067'904 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Windows\tasks

17.09.2004 14:05 <DIR> .
17.09.2004 14:05 <DIR> ..
19.03.2007 21:05 350 Symantec NetDetect.job
19.03.2007 22:52 398 1-Klick-Wartung.job
2 Datei(en) 748 Bytes
2 Verzeichnis(se), 12'227'067'904 Bytes frei

#156 riedle

den trojaner hast du mit Messenger Plus! geladen

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked

Zitat

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Folders to delete:
C:\Dokumente und Einstellungen\chlini\Anwendungsdaten\Else plus
C:\Dokumente und Einstellungen\chlini\Anwendungsdaten\EQFILEARMY
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CreativeCityLoadNoun
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Programme\Adverts
C:\Programme\MessengerPlus! 3
C:\Programme\Else plus

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 1
1 : es wird a-squared geladen
3. full scan (heuristic/riskware scanning enabled) - SCANNE
__________
MfG Sabina

rund um die PC-Sicherheit

#157 Hallo!

Hab seit heute auch die Meldung über den TR/Dldr.Swizzor.Gen bekommen. Außerdem wurde beim Scan auch noch ....DV gefunden.

Hier der Hijackthis log :

Logfile of HijackThis v1.99.1
Scan saved at 7:36:23 PM, on 03/29/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Poker Tracker V2\ptrack2.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\the_bruno\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {D61E827F-AA39-D24B-401F-92ECCB515ED6} - C:\DOKUME~1\THE_BR~1\ANWEND~1\CDROMF~1\Defyonce.exe (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\the_bruno\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\the_bruno\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9AE813E-26E2-4DD0-9CAF-6758A4CECBFA}: NameServer = 131.188.24.131
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

#158 ozelot

««
scanne und poste den report
http://virus-protect.org/artikel/tools/combofix.html

-----------------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#159 "the_bruno" - 07-03-30 12:37:43 Service Pack 2
ComboFix 07-03-27.4.2 - Running from: "C:\Dokumente und Einstellungen\the_bruno\Desktop"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\DOKUME~1
C:\qoobox\purity\DOKUME~1\THE_BR~1
C:\qoobox\purity\DOKUME~1\THE_BR~1\ANWEND~1
C:\qoobox\purity\DOKUME~1\THE_BR~1\ANWEND~1\from.txt
C:\qoobox\purity\DOKUME~1\THE_BR~1\ANWEND~1\ICROSO~1.NET
C:\qoobox\purity\WINDOWS\YSTEM~1


((((((((((((((((((((((((((((((( Files Created from 2007-02-28 to 2007-03-30 ))))))))))))))))))))))))))))))))))


2007-03-30 11:03 <DIR> d-------- C:\Programme\Lavasoft
2007-03-28 16:53 <DIR> d-------- C:\Programme\Infogrames
2007-03-27 20:41 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-03-27 20:41 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-03-27 20:41 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-03-27 20:41 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-03-27 20:41 <DIR> d-------- C:\Programme\Winamp
2007-03-09 00:15 253,952 --ah----- C:\DOKUME~1\postgres\NTUSER.DAT
2007-03-09 00:15 <DIR> dr-h----- C:\DOKUME~1\postgres\Anwendungsdaten
2007-03-09 00:15 <DIR> dr------- C:\DOKUME~1\postgres\Startmen�
2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Vorlagen
2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Netzwerkumgebung
2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Lokale Einstellungen
2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Druckumgebung
2007-03-09 00:15 <DIR> d-------- C:\Programme\PostgreSQL
2007-03-09 00:15 <DIR> d-------- C:\DOKUME~1\postgres\Favoriten


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-30 12:05 82480 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-30 12:05 441342 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-30 11:03 -------- d-------- C:\DOKUME~1\THE_BR~1\ANWEND~1\lavasoft
2007-03-30 09:50 -------- d-------- C:\Programme\icqtoolbar
2007-03-29 19:21 -------- d-------- C:\DOKUME~1\THE_BR~1\ANWEND~1\log meta boob
2007-03-29 15:42 -------- d-------- C:\Programme\pokerstars
2007-03-29 15:42 -------- d-------- C:\Programme\poker tracker v2
2007-03-28 16:53 -------- d--h----- C:\Programme\installshield installation information
2007-03-21 17:45 -------- d-------- C:\Programme\partygaming
2007-03-19 11:01 -------- d-------- C:\Programme\full tilt poker
2007-03-18 14:11 -------- d-------- C:\Programme\poker grapher
2007-03-07 21:21 -------- d-------- C:\Programme\icqlite
2007-03-01 11:29 -------- d-------- C:\Programme\everest poker
2007-02-04 16:33 -------- d-------- C:\Programme\europoker
2007-01-04 16:37 967 --a------ C:\WINDOWS\scunin.pif
2007-01-04 16:37 67584 --a------ C:\WINDOWS\scunin.exe
2007-01-04 16:37 11405 --a------ C:\WINDOWS\scunin.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"RaidTool"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ALCMTR"
"hkey"="HKLM"
"command"="ALCMTR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ALCWZRD"
"hkey"="HKLM"
"command"="ALCWZRD.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bags memo 32 bind]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Second Online"
"hkey"="HKLM"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Draw Roam Bags Memo\\Second Online.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProxyCap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ProxyCap"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\PROXYL~1\\ProxyCap\\ProxyCap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealPlayer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realplay"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Real\\RealOne Player\\realplay.exe\" /RunUPGToolCommandReBoot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Application Launcher"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48605bd0-61cf-11da-9b6d-806d6172696f}]
Shell\AutoRun\command D:\autorun.exe


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RaidTool = C:\Programme\VIA\RAID\raid_tool.exe? ??

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-30 12:40:05
C:\ComboFix2.txt ... 07-03-30 10:00


+++++++++++++++++++++

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60DC-BFEF

Verzeichnis von C:\Programme

03/30/2007 11:50 AM <DIR> .
03/30/2007 11:50 AM <DIR> ..
03/27/2007 09:09 PM <DIR> Adobe
05/13/2006 08:47 PM <DIR> Ahead
12/01/2005 12:45 PM <DIR> Alwil Software
10/06/2006 10:04 PM <DIR> Anti-Leech
03/30/2007 10:12 AM <DIR> AntiVir PersonalEdition Classic
06/29/2006 05:50 PM <DIR> aod
11/30/2005 08:04 PM <DIR> ATI Technologies
03/03/2006 01:37 PM <DIR> AvantGo Connect
08/17/2006 09:59 AM <DIR> AVI to MPEG Converter
09/13/2006 03:25 PM <DIR> Azureus
08/14/2006 09:23 AM <DIR> BearShare
08/31/2006 09:10 PM <DIR> Common Files
11/30/2005 07:42 PM <DIR> ComPlus Applications
07/22/2006 11:51 AM <DIR> eMule
02/04/2007 04:33 PM <DIR> EuroPoker
03/01/2007 11:29 AM <DIR> Everest Poker
01/09/2007 08:28 PM <DIR> Evrsoft First Page 2006
05/24/2006 01:00 PM <DIR> Firebird
03/19/2007 11:01 AM <DIR> Full Tilt Poker
12/29/2006 06:52 PM <DIR> Gemeinsame Dateien
03/07/2007 09:21 PM <DIR> ICQLite
03/30/2007 09:50 AM <DIR> ICQToolbar
03/28/2007 04:53 PM <DIR> Infogrames
11/30/2005 08:03 PM <DIR> Intel
05/12/2006 07:27 PM <DIR> Internet Explorer
02/04/2006 03:15 PM <DIR> Java
03/30/2007 11:03 AM <DIR> Lavasoft
10/19/2006 03:00 PM <DIR> Log Meta Boob
09/27/2006 08:01 AM <DIR> Messenger
10/19/2006 02:17 PM <DIR> Microsoft ActiveSync
11/30/2005 07:47 PM <DIR> microsoft frontpage
07/25/2006 09:09 PM <DIR> Microsoft Office
07/25/2006 09:09 PM <DIR> Microsoft Visual Studio
07/25/2006 09:09 PM <DIR> Microsoft Works
07/25/2006 09:07 PM <DIR> Microsoft.NET
05/12/2006 07:28 PM <DIR> Movie Maker
03/30/2007 12:42 PM <DIR> Mozilla Firefox
11/30/2005 07:41 PM <DIR> MSN
11/30/2005 07:41 PM <DIR> MSN Gaming Zone
11/30/2005 07:42 PM <DIR> NetMeeting
11/30/2005 07:41 PM <DIR> Online Services
11/30/2005 07:43 PM <DIR> Online-Dienste
05/12/2006 07:27 PM <DIR> Outlook Express
03/21/2007 05:45 PM <DIR> PartyGaming
03/18/2007 02:11 PM <DIR> Poker Grapher
03/29/2007 03:42 PM <DIR> Poker Tracker V2
08/26/2006 12:37 AM <DIR> PokerAce Hud
07/01/2006 10:08 AM <DIR> PokerManager
03/29/2007 03:42 PM <DIR> PokerStars
03/09/2007 12:15 AM <DIR> PostgreSQL
10/20/2006 12:18 PM <DIR> QuickTime
05/04/2006 08:35 PM <DIR> R
06/29/2006 05:50 PM <DIR> Real
12/23/2006 02:26 PM <DIR> Realtek
12/29/2006 06:52 PM <DIR> Sony Ericsson
05/12/2006 08:18 PM <DIR> Spybot - Search & Destroy
01/05/2007 03:05 PM <DIR> Starcraft
05/12/2006 07:54 PM <DIR> Steam
11/30/2005 08:05 PM <DIR> Synaptics
05/25/2006 08:44 PM <DIR> Teamspeak2_RC2
11/30/2005 08:02 PM <DIR> VIA
03/27/2007 08:41 PM <DIR> Winamp
05/12/2006 07:28 PM <DIR> Windows Media Player
11/30/2005 07:41 PM <DIR> Windows NT
07/14/2006 02:52 PM <DIR> WinRAR
11/30/2005 07:47 PM <DIR> xerox
07/22/2006 11:55 AM <DIR> Yahoo!
12/14/2006 07:43 PM <DIR> ZAR
0 Datei(en) 0 Bytes
70 Verzeichnis(se), 17,055,051,776 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60DC-BFEF

Verzeichnis von C:\Dokumente und Einstellungen\the_bruno\Lokale Einstellungen\Anwendungsdaten

03/29/2007 05:29 PM <DIR> Adobe
05/14/2006 07:01 PM <DIR> Ahead
07/29/2006 10:31 AM <DIR> Apple Computer
11/20/2006 11:11 AM <DIR> ApplicationHistory
03/26/2007 09:35 PM 175,616 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
11/20/2006 11:11 AM 142 fusioncache.dat
10/07/2006 06:50 PM <DIR> Gamblers Little Helper
07/25/2006 09:14 PM 66,672 GDIPFONTCACHEV1.DAT
02/07/2006 07:20 PM <DIR> Identities
03/15/2007 07:23 PM <DIR> Michael_K„ser
03/16/2007 03:22 PM <DIR> Microsoft
12/01/2005 12:27 PM <DIR> Mozilla
03/06/2007 04:38 PM <DIR> Poker_Grapher
11/30/2005 07:47 PM <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150000}
3 Datei(en) 242,430 Bytes
11 Verzeichnis(se), 17,055,047,680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60DC-BFEF

Verzeichnis von C:\Dokumente und Einstellungen\the_bruno\Anwendungsdaten

03/29/2007 05:29 PM <DIR> Adobe
03/27/2007 11:27 AM <DIR> AdobeUM
07/21/2006 12:06 PM <DIR> Apple Computer
08/21/2006 01:07 PM <DIR> Azureus
04/30/2006 11:43 AM <DIR> Brother
11/25/2006 02:29 PM <DIR> cdrom five support
12/01/2005 12:22 PM <DIR> ICQLite
11/30/2005 07:53 PM <DIR> Identities
03/30/2007 11:03 AM <DIR> Lavasoft
07/21/2006 11:50 AM <DIR> Leadertech
03/29/2007 07:21 PM <DIR> Log Meta Boob
02/03/2006 06:49 PM <DIR> Macromedia
12/01/2005 12:27 PM <DIR> Mozilla
10/06/2006 10:05 PM <DIR> NetPumper
12/17/2006 12:01 PM <DIR> ProxyCap
06/29/2006 06:12 PM <DIR> Real
02/03/2006 06:57 PM <DIR> Sun
05/25/2006 08:44 PM <DIR> teamspeak2
12/29/2006 07:17 PM <DIR> Teleca
07/14/2006 02:58 PM <DIR> Template
02/03/2006 06:58 PM <DIR> vlc
07/16/2006 06:07 PM 1,398 wklnhst.dat
1 Datei(en) 1,398 Bytes
21 Verzeichnis(se), 17,055,047,680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60DC-BFEF

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

10/11/2006 10:44 AM 305 addr_file.html
03/27/2007 09:10 PM <DIR> Adobe
05/13/2006 08:45 PM <DIR> Ahead
12/20/2006 03:44 PM <DIR> AntiVir PersonalEdition Classic
07/21/2006 12:04 PM <DIR> Apple Computer
03/29/2007 07:20 PM <DIR> Draw Roam Bags Memo
10/15/2006 10:02 PM 1,338 QTSBandwidthCache
12/29/2006 07:16 PM <DIR> Sony Ericsson
05/12/2006 08:23 PM <DIR> Spybot - Search & Destroy
12/29/2006 06:53 PM <DIR> Teleca
2 Datei(en) 1,643 Bytes
8 Verzeichnis(se), 17,055,047,680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60DC-BFEF

Verzeichnis von C:\Programme\Gemeinsame Dateien

12/29/2006 06:52 PM <DIR> .
12/29/2006 06:52 PM <DIR> ..
03/27/2007 09:10 PM <DIR> Adobe
05/13/2006 08:45 PM <DIR> Ahead
07/25/2006 09:09 PM <DIR> DESIGNER
11/30/2005 07:42 PM <DIR> Dienste
01/19/2007 02:43 PM <DIR> InstallShield
11/30/2005 07:47 PM <DIR> Java
07/25/2006 09:12 PM <DIR> Microsoft Shared
11/30/2005 07:42 PM <DIR> MSSoap
05/13/2006 08:47 PM <DIR> Nero
11/30/2005 07:38 PM <DIR> ODBC
06/29/2006 05:50 PM <DIR> Real
11/30/2005 07:38 PM <DIR> SpeechEngines
07/25/2006 09:08 PM <DIR> System
12/29/2006 07:16 PM <DIR> Teleca Shared
06/29/2006 05:50 PM <DIR> xing shared
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 17,055,047,680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60DC-BFEF

Verzeichnis von C:\Windows\tasks

#160 ozelot

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked

Zitat

O2 - BHO: (no name) - {D61E827F-AA39-D24B-401F-92ECCB515ED6} - C:\DOKUME~1\THE_BR~1\ANWEND~1\CDROMF~1\Defyonce.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProxyCap
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bags memo 32 bind

Folders to delete:
C:\Programme\pokerstars
C:\Programme\poker tracker v2
C:\Programme\partygaming
C:\Programme\full tilt poker
C:\Programme\poker grapher
C:\Programme\everest poker
C:\Programme\europoker
C:\Programme\Anti-Leech
C:\Programme\Log Meta Boob
C:\Dokumente und Einstellungen\the_bruno\Anwendungsdaten\cdrom five support
C:\Dokumente und Einstellungen\the_bruno\Anwendungsdaten\Log Meta Boob
C:\Dokumente und Einstellungen\the_bruno\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\the_bruno\Anwendungsdaten\ProxyCap
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Roam Bags Memo

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 1
1 : es wird a-squared geladen

3. full scan (heuristic/riskware scanning enabled) - scanne
4. save quarantine list - poste mit 4 den scanreport hier
__________
MfG Sabina

rund um die PC-Sicherheit

#161 seh ich das richtig, dass bei delete Folders die kompletten Programme gelöscht werden?

#162 na klar - immer weg mit dem Muell wenn du den Purityscan-Trojaner und Swizzor-Trojnaer vom PC haben willst...
__________
MfG Sabina

rund um die PC-Sicherheit

#163 C:\Programme\pokerstars
C:\Programme\poker tracker v2
C:\Programme\partygamingauf se

die wollt ich eigentlich wohl behalten. da dürfte auch nix böses drin sein...

#164 dann nimms raus aus dem script.................
__________
MfG Sabina

rund um die PC-Sicherheit

#165 So ich hab alles soweit gemacht, wie beschrieben.

Nur hab ich ein Riesenprobnlem mit sdfix. Mir stürzt der Rechner immer während des scannens ab... Schon 5 Versuche gestartet und auch schon mal das Programm deinstalliert und gelöscht bei dem es hängen geblieben ist.

sdfix müsste eben fast durchgewesen sein, wahr schon bei C:windows/
Außerdem ist mir aufgefallen dass er bei jedem neuen scan immer weniger Sachen gefunden hat.
Jetzt meldet er nur noch ein paar Tracking-cookies. Kann ich die auch erstmal einfach manuell löschen?