TR/Dldr.Swizzor.Gen

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.12.2006, 12:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Valenti

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\tasks\B187B7DD95F42D11.job

Folders to delete:
C:\Programme\Planamenscr
C:\Programme\MessengerPlus! 3
C:\Dokumente und Einstellungen\DukeNukem\Anwendungsdaten\Planamenscr
C:\Dokumente und Einstellungen\DukeNukem\Anwendungsdaten\Magsfilmeach
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Debug proc flaw settings

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {089CD40D-B04B-D355-91A8-98F097F78C6F} - C:\DOKUME~1\DUKENU~1\ANWEND~1\MAGSFI~1\dent regs.exe (file missing)

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [flawsettingsbikecreative] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Debug proc flaw settings\flaw pop.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [roam extra] C:\DOKUME~1\DUKENU~1\ANWEND~1\PLANAM~1\boob shim.exe

»»
scanne mit Counterspy, lasse diesen ganzen MessengerPlus! - Muell loeschen (mit remove)
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 Iches

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINNT\tasks\A8238D3D90700611.job

Folders to delete:
C:\Dokumente und Einstellungen\none\Anwendungsdaten\Zen Puzzle Garden
C:\Dokumente und Einstellungen\none\Anwendungsdaten\Swarm Racer
C:\Dokumente und Einstellungen\none\Anwendungsdaten\Neko Puzzle
C:\Dokumente und Einstellungen\none\Anwendungsdaten\movenewhole
C:\Dokumente und Einstellungen\none\Anwendungsdaten\COWON
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bind Phone Active Keep
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [activekeepadminwma] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bind Phone Active Keep\bend 4.exe

O4 - HKCU\..\Run: [Amen Army] C:\DOKUME~1\none\ANWEND~1\MOVENE~1\storebook.exe
PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 13:03
...neu hier

Beiträge: 2
#33 Super es hat klapt.
Vielen Dank für die schnelle Hilfe.
Seitenanfang Seitenende
10.12.2006, 13:04
...neu hier

Beiträge: 5
#34 So Sabina habe alles gemacht was du gesagt hast.

Bin ich nun fertig?
Seitenanfang Seitenende
10.12.2006, 13:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 viomaticus

ich hatte in deinem script was veraendert ...fuehre es also noch mal aus, dann scanne auch mit counterspy ;)
kommen dann noch popups ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 16:26
...neu hier

Beiträge: 5
#36 Ja Sabina ich weiß du hattest Folders to delete vergessen. Hatt alles super geklappt.

Ne es kommen keine Popups..anti leech netpumper etc is alles runter.
Seitenanfang Seitenende
10.12.2006, 17:14
...neu hier

Beiträge: 3
#37 Es scheint alles zu laufen, auch wenn der counterspy noch 37 infizierte dateien gefunden hat, und die entfernen konnte und jetzt zeigt er nichts mehr an.
Aber ich trau meinem Rechner nicht, werd bestimmt bald wieder posten müssen.

Aber noch mal vielen Dank für die Hilfe.
Seitenanfang Seitenende
20.12.2006, 14:14
...neu hier

Beiträge: 2
#38 Hi,

ich bekomme auch seit einiger Zeit folgende Meldung:



Kann mir da bitte jemand helfen?!

hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 13:59:38, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Winamp\winampa.exe
C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
E:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Free Download Manager\fdm.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\programme\maustreiber\MouseDrv.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\runservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
E:\programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=134272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=134272
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3FBA07BB-CBDE-8112-428C-0BD03D042CAD} - C:\DOKUME~1\Stefan\ANWEND~1\CAMPWI~1\bore axis.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho13.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4d\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [WinampAgent] e:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "e:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CloneCDTray] "e:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Hold meow more bin] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLAY WARN HOLD MEOW\Balm Pile.exe
O4 - HKLM\..\Run: [WireLessMouse] E:\programme\maustreiber\StartAutorun.exe MouseDrv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [idol sect] C:\DOKUME~1\Stefan\ANWEND~1\FORLIN~1\ExitGrid.exe
O4 - HKCU\..\Run: [Free Download Manager] e:\Programme\Free Download Manager\fdm.exe -autorun
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://e:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://e:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://e:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://e:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind13.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9469F569-CEC0-4DD3-A0C1-86619DF438C6}: NameServer = 217.237.151.51 217.237.149.205
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\t-com\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - E:\Programme\T-DSL Manager\DslMgrSvc.exe
O23 - Service: TSMService - T-Systems Business Services - E:\programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
20.12.2006, 14:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
20.12.2006, 14:45
...neu hier

Beiträge: 2
#40 Schon mal Danke!

Stefan - 06-12-20 14:44:05,90 Service Pack 2
ComboFix 06.11.27 - Running from: "E:\programme"

((((((((((((((((((((((((((((((( Files Created from 2006-11-20 to 2006-12-20 ))))))))))))))))))))))))))))))))))


2006-12-10 16:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\t-com
2006-12-10 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\T-DSL Manager
2006-12-10 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL Manager
2006-12-10 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\T-DSL SpeedManager
2006-12-10 15:36 <DIR> d--hs---- C:\Config.Msi
2006-12-09 16:52 12,464 --a------ C:\WINDOWS\system32\drivers\CdaD10BA.SYS
2006-12-09 16:51 <DIR> d-------- C:\Programme\SkillJam Technologies
2006-12-09 16:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SkillJam
2006-12-09 15:10 6,528 --a------ C:\WINDOWS\system32\drivers\MOUSEWD.SYS
2006-12-09 11:33 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2006-12-09 11:33 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2006-12-09 11:33 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2006-12-07 17:19 <DIR> d-------- C:\Programme\Zylom Games
2006-12-07 17:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2006-11-23 16:56 44,032 --a------ C:\WINDOWS\msxml3r.dll
2006-11-23 16:56 24,576 --a------ C:\WINDOWS\msxml3a.dll
2006-11-23 16:56 1,118,720 --a------ C:\WINDOWS\msxml3.dll
2006-11-20 16:16 <DIR> d-------- C:\Programme\CDBurnerXP Pro 3
2006-11-20 16:13 <DIR> d-------- C:\Programme\Common~1


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-20 14:43 -------- d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Free Download Manager
2006-12-20 13:19 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-20 13:08 1065 --ahs---- C:\WINDOWS\system32\mmf.sys
2006-12-19 17:21 -------- d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Adobe
2006-12-19 12:09 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-16 12:18 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-12-16 10:11 -------- d-------- C:\Programme\Internet Explorer
2006-12-16 10:10 -------- d-------- C:\Programme\Outlook Express
2006-12-16 10:10 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-12-15 18:51 73216 --a------ C:\WINDOWS\ST6UNST.EXE
2006-12-15 18:51 249856 --------- C:\WINDOWS\Setup1.exe
2006-12-13 11:13 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-13 11:13 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-10 16:52 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-09 15:10 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-25 12:39 -------- d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\campwindowloud
2006-11-17 15:14 13312 --a------ C:\WINDOWS\system32\drivers\tsmpkt.sys
2006-11-08 15:20 -------- d-------- C:\Programme\Everest Poker
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-06 19:18 -------- d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\SlySoft
2006-11-06 19:06 -------- d-------- C:\Programme\Windows Media Player
2006-11-06 18:59 96256 --a------ C:\WINDOWS\system32\drivers\sptd6381.sys
2006-11-05 16:25 -------- d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\AdobeUM
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-23 14:34 -------- d---s---- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Microsoft
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"idol sect"="C:\\DOKUME~1\\Stefan\\ANWEND~1\\FORLIN~1\\ExitGrid.exe"
"Free Download Manager"="e:\\Programme\\Free Download Manager\\fdm.exe -autorun"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"WinampAgent"="e:\\Programme\\Winamp\\winampa.exe"
"navapp"="C:\\Programme\\NavExcel\\NavHelper\\v2.0.4d\\navapp.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools"="\"e:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"VirtualCloneDrive"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"CloneCDTray"="\"e:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Hold meow more bin"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\PLAY WARN HOLD MEOW\\Balm Pile.exe"
"WireLessMouse"="E:\\programme\\maustreiber\\StartAutorun.exe MouseDrv.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Stefan^Startmenü^Programme^Autostart^PowerReg Scheduler.exe]
"path"="C:\\Dokumente und Einstellungen\\Stefan\\Startmenü\\Programme\\Autostart\\PowerReg Scheduler.exe"
"backup"="C:\\WINDOWS\\pss\\PowerReg Scheduler.exeStartup"
"location"="Startup"
"command"="C:\\Dokumente und Einstellungen\\Stefan\\Startmenü\\Programme\\Autostart\\PowerReg Scheduler.exe"
"item"="PowerReg Scheduler"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ Windows]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="services"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\WinSecurity\\services.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Archive]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="archive"
"hkey"="HKLM"
"command"="C:\\Programme\\Archive\\archive.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ashampoo PopUpBlocker]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PopUpKiller"
"hkey"="HKCU"
"command"="D:\\PROGRA~1\\Ashampoo\\ASHAMP~1\\PopUpKiller.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BeFaster]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="befaster3"
"hkey"="HKCU"
"command"="E:\\programme\\BeFaster\\befaster3.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotKey]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mHotkey"
"hkey"="HKLM"
"command"="mHotkey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RunDll32 cmicnfg"
"hkey"="HKLM"
"command"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CookiePatrol]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CookiePatrol"
"hkey"="HKLM"
"command"="E:\\programme\\PestPatrol\\CookiePatrol.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EM_EXEC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="EM_EXEC"
"hkey"="HKLM"
"command"="e:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ErrorSafe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ers"
"hkey"="HKLM"
"command"="C:\\Programme\\ErrorSafe\\ers.exe /scan"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hold meow more bin]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="1632"
"hkey"="HKLM"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\PLAY WARN HOLD MEOW\\1632.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="0106"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\0106.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idol sect]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ExitGrid"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\Stefan\\ANWEND~1\\FORLIN~1\\ExitGrid.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="optimize"
"hkey"="HKLM"
"command"="\"C:\\Dokumente und Einstellungen\\Stefan\\Internet Optimizer\\optimize.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IST Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="istsvc"
"hkey"="HKLM"
"command"="C:\\Programme\\ISTsvc\\istsvc.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWBKEYBOARD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KbdAp32A"
"hkey"="HKLM"
"command"="e:\\Programme\\MultiMedia Keyboard\\MultiMedia Keyboard\\1.1\\KbdAp32A.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\navapp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="navapp"
"hkey"="HKLM"
"command"="C:\\Programme\\NavExcel\\NavHelper\\v2.0.4d\\navapp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPMemCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PPMemCheck"
"hkey"="HKLM"
"command"="E:\\programme\\PestPatrol\\PPMemCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sais]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sais"
"hkey"="HKLM"
"command"="c:\\programme\\180solutions\\sais.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tsa2]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="tsm2"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\COMMON~1\\tsa\\tsm2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTPreset]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VTPreset"
"hkey"="HKLM"
"command"="VTPreset.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherCast]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Weather"
"hkey"="HKCU"
"command"="\"C:\\Programme\\WeatherCast\\Weather.exe\" /q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Save"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Save\\Save.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WildTangent CDA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cdaEngine0500"
"hkey"="HKLM"
"command"="\"C:\\Programme\\WildTangent\\Apps\\CDA\\GameDrvr.exe\" /startup \"C:\\Programme\\WildTangent\\Apps\\CDA\\cdaEngine0500.dll\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\_Windows]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="services"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\WinSecurity\\services.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SwPrv"=dword:00000003
"SLService"=dword:00000002
"C-DillaCdaC11BA"=dword:00000002
"Browser"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\erssdd.sys

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AF7B095090DCBC88.job

Completion time: 06-12-20 14:45:18.68
C:\ComboFix.txt ... 06-12-20 14:45
Seitenanfang Seitenende
20.12.2006, 19:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 so einen zugemuellten Rechner muss ich naeher unter die lupe nehmen ;)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2007, 23:53
...neu hier

Beiträge: 2
#42 Hi, schlage mich auch mit dem Swizzor rum. Wie bekomme ich den weg? LG
Seitenanfang Seitenende
08.01.2007, 23:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 timoteu

1.
Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einem Ordner
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
---------------------------------------------------------------

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2007, 12:38
...neu hier

Beiträge: 2
#44 ersten Dank.

zu 1.
--------
Logfile of HijackThis v1.99.1
Scan saved at 00:23:57, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\wolfgang lehmann\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [License bits 4 barb] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Default Bias License Bits\TYPE EACH.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [test mode] C:\DOKUME~1\WOLFGA~1\ANWEND~1\ADMINP~1\Win view.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104703182928
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Skype\toolbars\Shared\Skype4ComAPI.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-----------------




zu 2.
------------
erledigt
-----------




zu 3.
------------
wolfgang lehmann - 07-01-09 0:22:12.55 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Programme\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2006-12-09 to 2007-01-09 ))))))))))))))))))))))))))))))))))


2007-01-09 00:28 <DIR> d-------- C:\Programme\CleanUp!
2006-12-25 17:59 <DIR> d-------- C:\Programme\Java
2006-12-25 17:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2006-12-25 14:46 <DIR> d-------- C:\My Music
2006-12-19 01:32 <DIR> d-------- C:\Programme\Winmail Opener
2006-12-18 18:36 <DIR> d-------- C:\Programme\Lavalys
2006-12-18 08:20 <DIR> d-------- C:\Programme\PrettyMay
2006-12-17 22:45 <DIR> d-------- C:\Programme\MSXML 4.0
2006-12-16 22:18 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-12-16 22:18 <DIR> d-------- C:\WINDOWS\system32\PreInstall
2006-12-10 19:29 15,360 --a------ C:\WINDOWS\system32\drivers\MPE.sys
2006-12-10 19:27 363,520 --a------ C:\WINDOWS\system32\PsisDecd.dll
2006-12-10 19:26 11,776 --a------ C:\WINDOWS\system32\drivers\BdaSup.sys
2006-12-10 19:22 <DIR> d-------- C:\Programme\MMEDIA
2006-12-09 16:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-12-09 16:52 <DIR> d-------- C:\Programme\Real
2006-12-09 16:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2006-12-09 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Real


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-09 00:22 -------- d-------- C:\Programme\Mozilla Firefox
2007-01-09 00:20 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Skype
2006-12-25 17:58 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-25 17:36 -------- d-------- C:\Programme\Winamp
2006-12-25 17:25 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-25 17:25 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-25 11:22 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\ADMIN PHONE
2006-12-20 00:49 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Audacity
2006-12-20 00:47 -------- d---s---- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Microsoft
2006-12-18 19:38 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Apple Computer
2006-12-18 18:30 -------- d-------- C:\Programme\Google
2006-12-18 18:25 -------- d-------- C:\Programme\Adobe
2006-12-18 18:22 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Adobe
2006-12-18 18:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-12-17 22:51 -------- d-------- C:\Programme\Internet Explorer
2006-12-17 22:47 -------- d-------- C:\Programme\Messenger
2006-12-17 22:43 -------- d-------- C:\Programme\Outlook Express
2006-12-17 22:43 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-12-17 05:51 -------- d-------- C:\Programme\Windows Media Player
2006-12-11 23:23 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\AdobeUM
2006-12-08 19:14 -------- d-------- C:\Programme\Audacity 1.3 Beta (Unicode)
2006-12-08 18:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Vbox
2006-12-08 18:11 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-12-08 08:56 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Thunderbird
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-06 23:26 -------- d-------- C:\Programme\iTunes
2006-12-06 23:26 -------- d-------- C:\Programme\iPod
2006-12-06 23:24 -------- d-------- C:\Programme\QuickTime
2006-12-06 23:20 -------- d-------- C:\Programme\Apple Software Update
2006-11-26 17:09 -------- d-------- C:\Programme\Zone Labs
2006-11-18 21:36 -------- d-------- C:\Programme\Xvid
2006-11-18 03:48 -------- d-------- C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\Google
2006-11-16 22:15 -------- d-------- C:\Programme\ADMIN PHONE
2006-11-16 20:18 -------- d-------- C:\Programme\Download Plugin
2006-11-15 23:24 -------- d-------- C:\Programme\Tracker Software
2006-11-15 23:24 -------- d-------- C:\Programme\Mindjet
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-01 14:54 180224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2006-11-01 14:52 765952 --a------ C:\WINDOWS\system32\xvidcore.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-15 16:58 2560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"pdfSaver3"="\"C:\\Programme\\Tracker Software\\PDF-XChange 3\\pdfSaver\\pdfSaver3.exe\""
"test mode"="C:\\DOKUME~1\\WOLFGA~1\\ANWEND~1\\ADMINP~1\\Win view.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"PCMService"="\"C:\\Program Files\\Arcade\\PCMService.exe\""
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"LManager"="C:\\Programme\\Launch Manager\\QtZgAcer.EXE"
"DataLayer"="C:\\PROGRA~1\\GEMEIN~1\\PCSuite\\DATALA~1\\DATALA~1.EXE"
"PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\TRAYAP~1.EXE"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"pdfSaver3"=""
"MMReminderService"="C:\\Programme\\Mindjet\\MindManager 6\\MMReminderService.exe"
"License bits 4 barb"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Default Bias License Bits\\TYPE EACH.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,fe,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\A903A6EE91802402.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 07-01-09 0:23:07.33
C:\ComboFix.txt ... 07-01-09 00:23
C:\ComboFix2.txt ... 07-01-09 00:20
C:\ComboFix3.txt ... 07-01-08 20:07
Dieser Beitrag wurde am 09.01.2007 um 12:55 Uhr von timoteu editiert.
Seitenanfang Seitenende
09.01.2007, 13:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 timoteu

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\tasks\A903A6EE91802402.job

Folders to delete:
C:\Dokumente und Einstellungen\wolfgang lehmann\Anwendungsdaten\ADMIN PHONE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Default Bias License Bits
C:\Programme\ADMIN PHONE
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [License bits 4 barb] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Default Bias License Bits\TYPE EACH.exe

O4 - HKCU\..\Run: [test mode] C:\DOKUME~1\WOLFGA~1\ANWEND~1\ADMINP~1\Win view.exe


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: