Home » Viren, Trojaner & Malware Forum » 888Bar - Überprüfung » Themenansicht

888Bar - Überprüfung

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.11.2006, 20:55
Corey8
...neu hier

Beiträge: 7
#1 hallo,

ich habe anscheinend gerade den virus bzw das programm "888Bar" aufm computer gehabt und erfolgreich entfernt bzw deinstalliert!

ich möchte jetzt noch auf nummer sicher gehen und meine logfile von hijackthis hier posten, wenn irgendwer noch etwas verdächtiges sieht, dann schreibt es bitte.. danke im voraus

Logfile of HijackThis v1.99.1
Scan saved at 20:52:51, on 26.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
D:\Privat\Programme\tuloxFreeWBS\tuloxFreeWBS\FreeDict.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Privat\PROGRA~1\ICQLite\ICQLite.exe
D:\Privat\Programme\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
D:\Privat\Bilder\Persönliche Bilder\allgemein\unterwegs ;)\winstall.exe
C:\Programme\Gemeinsame Dateien\{383DF393-063A-3079-0131-05122920002b}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msrr.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe
C:\Programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
D:\Privat\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Privat\Programme\HijackThis\HijackThis.exe
D:\Privat\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.vbs-content.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.hasflo.vbs/proxyconfig/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.12.128.7:8000
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Privat\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {78B9111F-C669-4A2A-B63A-0520F155E8C0} - C:\WINDOWS\system32\kbdhe32.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Privat\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [tuloxFreeWBS] D:\Privat\Programme\tuloxFreeWBS\tuloxFreeWBS\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/iexplore.reg
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ICQ Lite] "D:\Privat\PROGRA~1\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "D:\Privat\Programme\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [explorer] D:\Privat\Bilder\Persönliche Bilder\allgemein\unterwegs ;)\winstall.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msrr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Privat\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Notebook-Start.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Privat\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Privat\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Privat\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http:\\www.vbs-content.net
O15 - Trusted Zone: *.i--search.com
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.5.1.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1153
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vbs
O17 - HKLM\Software\..\Telephony: DomainName = vbs
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vbs
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vbs
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Privat\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
Seitenanfang Seitenende
26.11.2006, 22:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Corey8

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.11.2006, 23:23
Corey8
...neu hier

Themenstarter

Beiträge: 7
#3

Zitat

Sabina postete
Corey8

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
- 06-11-26 22:54:10,87 Service Pack 2
ComboFix 06.11.26 - Running from: "D:\Privat\Programme\HijackThis"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\{383DF393-063A-3079-0131-05122920002b}


((((((((((((((((((((((((((((((( Files Created from 2006-10-26 to 2006-11-26 ))))))))))))))))))))))))))))))))))


2006-11-26 22:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WholeSecurity
2006-11-26 21:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2006-11-26 20:31 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2006-11-26 18:50 <DIR> d--hs---- C:\Config.Msi
2006-11-26 18:42 77,824 --a------ C:\Dokumente und Einstellungen\Administrator\isetup.exe
2006-11-26 18:42 138,565 --a------ C:\Dokumente und Einstellungen\Administrator\mcnew.exe
2006-11-26 18:42 122,880 --a------ C:\Dokumente und Einstellungen\Administrator\winstall.exe
2006-11-18 09:22 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-28 11:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-26 22:58 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-26 22:55 96256 --a------ C:\WINDOWS\system32\drivers\sptd4973.sys
2006-11-26 20:48 -------- d-------- C:\Programme\Microsoft AntiSpyware
2006-11-26 19:27 -------- d-------- C:\Programme\Google
2006-11-26 19:00 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-26 18:59 -------- d-------- C:\Programme\MSN Messenger
2006-11-25 08:16 -------- d-------- C:\Programme\Java
2006-11-18 09:21 -------- d-------- C:\Programme\Internet Explorer
2006-11-13 21:01 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire
2006-10-28 15:13 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Google
2006-10-22 14:26 82380 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS
2006-10-22 14:26 -------- d-------- C:\Programme\Hewlett-Packard
2006-10-22 14:24 -------- d-------- C:\Programme\HP
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-09-29 06:56 -------- d-------- C:\Programme\Valve
2006-09-26 17:27 -------- d-------- C:\Programme\Motorola Phone Tools
2006-09-26 17:27 -------- d-------- C:\Programme\LiveUpdate
2006-09-26 17:04 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Jasc
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-26 15:57 152 -r-hs---- C:\WINDOWS\system32\2E6CF8811B.sys
2006-08-26 15:57 11270 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msrr.exe\" /background"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="D:\\Privat\\PROGRA~1\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"LManager"="C:\\Programme\\Launch Manager\\QtZgAcer.EXE"
"AcerNotebookManager"="C:\\Programme\\Acer\\Notebook Manager\\almxptray.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"LtMoh"="C:\\Programme\\ltmoh\\Ltmoh.exe"
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"gcasServ"="\"C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"IntelZeroConfig"="C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe"
"IntelWireless"="C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe /tf Intel PROSet/Wireless"
"EOUApp"="C:\\Programme\\Intel\\Wireless\\Bin\\EOUWiz.exe"
"tuloxFreeWBS"="D:\\Privat\\Programme\\tuloxFreeWBS\\tuloxFreeWBS\\FreeDict.exe AUTOSTART"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb09.exe"
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe\" -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"ICQ Lite"="\"D:\\Privat\\PROGRA~1\\ICQLite\\ICQLite.exe\" -minimize"
"iTunesHelper"="\"D:\\Privat\\Programme\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"HP Software Update"="\"C:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWuSchd.exe\""
"HP Component Manager"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"DeviceDiscovery"="C:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpotdd01.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,e8,00,00,00,00,00,00,00,90,04,00,00,f6,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,e8,00,00,00,00,00,00,00,90,04,00,00,f6,03,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\WebReg 20061122152809.job

Completion time: 06-11-26 22:58:41.08
C:\ComboFix.txt ... 06-11-26 22:58


Zitat

Sabina postete
Corey8
3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
System32:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 383D-F393

Verzeichnis von C:\WINDOWS\system32

26.11.2006 16:44 2.206 wpa.dbl
25.11.2006 08:16 8.891 jupdate-1.5.0_09-b03.log
16.11.2006 06:20 10.474.920 MRT.exe
06.11.2006 10:04 453.974 perfh009.dat
06.11.2006 10:04 80.694 perfc009.dat
06.11.2006 10:04 476.376 perfh007.dat
06.11.2006 10:04 93.308 perfc007.dat
06.11.2006 10:04 1.117.828 PerfStringBackup.INI
04.11.2006 14:14 1.245.696 msxml4.dll
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
13.10.2006 13:35 65.536 nwwks.dll
13.10.2006 13:35 64.000 nwapi32.dll
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
20.09.2006 14:12 16.832 amcompat.tlb
20.09.2006 14:12 23.392 nscompat.tlb
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 152.064 cdfview.dll
14.09.2006 09:39 1.056.256 danim.dll
14.09.2006 09:39 1.022.976 browseui.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
26.08.2006 15:57 11.270 KGyGaAvL.sys
26.08.2006 15:57 152 2E6CF8811B.sys
25.08.2006 16:46 617.472 comctl32.dll
22.08.2006 20:53 594.450 x264vfw.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
20.08.2006 14:56 168 1B81F86C2E.sys
17.08.2006 13:28 332.288 netapi32.dll
17.08.2006 13:28 132.096 wkssvc.dll
17.08.2006 13:28 729.600 lsasrv.dll
16.08.2006 12:58 100.352 6to4svc.dll


Systemtemp:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 383D-F393

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

26.11.2006 23:14 173 jusched.log
26.11.2006 23:09 32.768 ~DF4FC4.tmp
26.11.2006 22:59 32.768 ~DFF730.tmp
3 Datei(en) 65.709 Bytes
0 Verzeichnis(se), 12.627.111.936 Bytes frei


Windows:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 383D-F393

Verzeichnis von C:\WINDOWS

26.11.2006 23:17 50 wiaservc.log
26.11.2006 23:17 159 wiadebug.log
26.11.2006 23:03 1.648.582 WindowsUpdate.log
26.11.2006 22:57 0 0.log
26.11.2006 22:57 2.048 bootstat.dat
26.11.2006 22:10 316.652 setupapi.log
26.11.2006 20:47 32.558 SchedLgU.Txt
26.11.2006 19:48 181.114 setupact.log
25.11.2006 10:11 206 hpbafd.ini
22.11.2006 16:27 7.680 Thumbs.db
18.11.2006 09:22 214.801 comsetup.log
18.11.2006 09:22 882.128 iis6.log
18.11.2006 09:22 130.281 ntdtcsetup.log
18.11.2006 09:22 1.393 imsins.log
18.11.2006 09:22 30.797 tabletoc.log
18.11.2006 09:22 287.501 tsoc.log
18.11.2006 09:22 34.045 ocmsn.log
18.11.2006 09:22 20.214 KB923980.log
18.11.2006 09:22 107.262 netfxocm.log
18.11.2006 09:22 306.034 ocgen.log
18.11.2006 09:22 42.938 MedCtrOC.log
18.11.2006 09:22 30.736 msgsocm.log
18.11.2006 09:22 604.324 FaxSetup.log
18.11.2006 09:22 196.716 msmqinst.log
18.11.2006 09:22 1.393 imsins.BAK
18.11.2006 09:22 19.865 KB924270.log
18.11.2006 09:22 42.907 updspapi.log
18.11.2006 09:21 18.774 KB920213.log
18.11.2006 09:21 21.178 KB922760.log
17.11.2006 20:19 1.051 eReg.dat
06.11.2006 13:30 164.779 wmsetup.log
06.11.2006 13:24 292 wmsetup10.log
05.11.2006 19:04 14.502 ModemLog_Motorola USB Modem.txt
27.10.2006 13:38 15.510 ModemLog_Motorola USB Modem #3.txt
22.10.2006 14:27 3.314.410 hpfmsi.log
22.10.2006 14:27 7.527 hpdj5100.ini
22.10.2006 14:27 161.867 hpdj5100.his
22.10.2006 14:22 478 hpbvspst.ini
22.10.2006 14:22 2.137 hpbvspst.his
12.10.2006 15:37 13.614 KB924191.log
12.10.2006 15:37 13.212 KB922819.log
12.10.2006 15:37 11.424 KB923414.log
12.10.2006 15:37 11.424 KB924496.log
12.10.2006 15:36 8.862 KB923191.log
28.09.2006 08:49 11.120 KB925486.log
20.09.2006 14:12 48.912 spupdsvc.log
20.09.2006 14:07 15.781 wmp11.log
20.09.2006 14:05 11.270 Wudf01000Inst.log
20.09.2006 14:04 19.364 WMFDist11.log
20.09.2006 14:04 316.640 WMSysPr9.prx
15.09.2006 06:49 13.143 KB920685.log
15.09.2006 06:48 15.014 KB920872.log
15.09.2006 06:48 13.271 KB919007.log
15.09.2006 06:48 9.142 KB922582.log
12.09.2006 15:11 357 GEARInstall.log
21.08.2006 18:42 30.676 ModemLog_Motorola USB Modem #2.txt
21.08.2006 18:17 6.056 ModemLog_Agere Systems AC'97 Modem.txt
12.08.2006 12:15 17.181 KB920214.log
12.08.2006 12:15 17.542 KB922616.log
12.08.2006 12:15 17.193 KB921398.log
12.08.2006 12:13 20.012 KB918899.log
12.08.2006 12:13 12.308 KB920670.log
12.08.2006 12:13 12.496 KB917422.log
12.08.2006 12:13 12.784 KB920683.log
11.08.2006 15:24 13.659 KB921883.log


Temp:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 383D-F393

Verzeichnis von C:\WINDOWS\Temp

22.10.2006 18:12 16.384 Perflib_Perfdata_408.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 12.627.099.648 Bytes frei


Down:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 383D-F393

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.11.2006 21:23 2.072 vscanmsx.dat
15.11.2006 01:00 146.864 virscan3.dat
15.11.2006 01:00 882.344 navex32a.dll
15.11.2006 01:00 569.844 virscan2.dat
15.11.2006 01:00 971.811 virscan1.dat
15.11.2006 01:00 2.504 catalog.dat
15.11.2006 01:00 106.244 virscan.inf
15.11.2006 01:00 2.269 v.sig
15.11.2006 01:00 4.778 v.grd
15.11.2006 01:00 224 zdone.dat
15.11.2006 01:00 3.027 tscan1hd.dat
15.11.2006 01:00 6.899 ecbootil.vxd
15.11.2006 01:00 61.669 tscan1.dat
15.11.2006 01:00 272.040 ecmsvr32.dll
15.11.2006 01:00 1.957 tinfl.dat
15.11.2006 01:00 148 tinfidx.dat
15.11.2006 01:00 453 tinf.dat
15.11.2006 01:00 709.177 tcscan9.dat
15.11.2006 01:00 320.725 tcscan8.dat
15.11.2006 01:00 1.048.656 tcscan7.dat
15.11.2006 01:00 186.790 tcdefs.dat
15.11.2006 01:00 1.061 symaveng.inf
15.11.2006 01:00 9.237 symaveng.cat
15.11.2006 01:00 124.584 naveng32.dll
15.11.2006 01:00 320.186 virscan4.dat
15.11.2006 01:00 32 virscant.dat
15.11.2006 01:00 3.846.955 virscan9.dat
15.11.2006 01:00 1.632.046 virscan8.dat
15.11.2006 01:00 97.680 scrauth.dat
15.11.2006 01:00 389.846 virscan6.dat
15.11.2006 01:00 2.933.516 virscan5.dat
15.11.2006 01:00 4.935.638 virscan7.dat
22.06.2006 10:41 5.032 swflash.inf


C:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 383D-F393

Verzeichnis von C:\

26.11.2006 23:23 0 sys.txt
26.11.2006 23:22 3.894 down.txt
26.11.2006 23:22 282 tmp.txt
26.11.2006 23:21 12.212 system.txt
26.11.2006 23:20 386 systemtemp.txt
26.11.2006 23:13 110.058 system32.txt
26.11.2006 22:58 8.663 ComboFix.txt
26.11.2006 22:57 518.508.544 hiberfil.sys
26.11.2006 22:56 780.140.544 pagefile.sys
16.11.2006 17:15 8.117 hpfr5100.log
19.10.2006 12:11 70.790 hpfr3500.log
21.08.2006 18:04 0 DBS.TXT
16.03.2006 21:00 192 persist.dbs
16.02.2006 17:44 94 DownloadLog.txt
31.10.2005 16:56 700.416 StubInstaller.exe
13.10.2005 09:44 211 boot.ini
18.08.2005 08:51 77 inst.txt
06.07.2005 12:48 0 IO.SYS
06.07.2005 12:48 0 MSDOS.SYS
06.07.2005 12:48 0 CONFIG.SYS
06.07.2005 12:48 0 AUTOEXEC.BAT
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
23.08.2001 12:00 4.952 bootfont.bin
24 Datei(en) 1.299.868.180 Bytes
0 Verzeichnis(se), 12.627.091.456 Bytes frei
Seitenanfang Seitenende
27.11.2006, 00:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 auf dem rechner ist der Worm/Braban

loesche manuell:
D:\Privat\Bilder\Persönliche Bilder\allgemein\unterwegs =\winstall.exe

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{78B9111F-C669-4A2A-B63A-0520F155E8C0}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78B9111F-C669-4A2A-B63A-0520F155E8C0}

Files to delete:
C:\WINDOWS\system32\kbdhe32.dll
C:\WINDOWS\Downloaded Program Files\speedtest2.dll
C:\Dokumente und Einstellungen\Administrator\isetup.exe
C:\Dokumente und Einstellungen\Administrator\mcnew.exe
C:\Dokumente und Einstellungen\Administrator\winstall.exe

Folders to delete:
C:\Programme\ToolBar888
C:\Programme\Gemeinsame Dateien\{383DF393-063A-3079-0131-05122920002b}
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

O2 - BHO: (no name) - {78B9111F-C669-4A2A-B63A-0520F155E8C0} - C:\WINDOWS\system32\kbdhe32.dll

O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/iexplore.reg

O4 - HKLM\..\Run: [explorer] D:\Privat\Bilder\Persönliche Bilder\allgemein\unterwegs \winstall.exe

O15 - Trusted Zone: *.i--search.com

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1153

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

PC neustarten

**
scanne, lasse alles loeschen und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2006, 01:22
Corey8
...neu hier

Themenstarter

Beiträge: 7
#5

Zitat

loesche manuell:
D:\Privat\Bilder\Persönliche Bilder\allgemein\unterwegs =\winstall.exe
das habe ich getan, habe aber nur die .exe gelöscht, da ich nicht den ganzen ordner löschen hab können.. darin sind private bilder!


Zitat

Avenger
http://virus-protect.org/artikel/tools/avenger.html
dies ist der bericht, falls er dich interessiert!
habe mir gedacht ich poste ihn, weil darin ziemlich oft "failed" steht:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wykncsqg

*******************

Script file located at: \??\C:\Program Files\xmcqlnvs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\kbdhe32.dll deleted successfully.


File C:\WINDOWS\Downloaded Program Files\speedtest2.dll not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\speedtest2.dll failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\speedtest2.dll
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Administrator\isetup.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\mcnew.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\winstall.exe deleted successfully.


Folder C:\Programme\ToolBar888 not found!
Deletion of folder C:\Programme\ToolBar888 failed!

Could not process line:
C:\Programme\ToolBar888
Status: 0xc0000034



Folder C:\Programme\Gemeinsame Dateien\{383DF393-063A-3079-0131-05122920002b} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{383DF393-063A-3079-0131-05122920002b} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{383DF393-063A-3079-0131-05122920002b}
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{78B9111F-C669-4A2A-B63A-0520F155E8C0} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78B9111F-C669-4A2A-B63A-0520F155E8C0} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Zitat

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

O2 - BHO: (no name) - {78B9111F-C669-4A2A-B63A-0520F155E8C0} - C:\WINDOWS\system32\kbdhe32.dll

O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/iexplore.reg

O4 - HKLM\..\Run: [explorer] D:\Privat\Bilder\Persönliche Bilder\allgemein\unterwegs \winstall.exe

O15 - Trusted Zone: *.i--search.com

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1153

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

PC neustarten
es haben sich nur die 016-einträge löschen lassen, die anderen waren nicht vorhanden!


Zitat

scanne, lasse alles loeschen und poste den scanreport
http://virus-protect.org/ewido.html
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:22:16 27.11.2006

+ Scan-Ergebnis:



C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195435.exe -> Adware.Lop : Gesäubert.
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx -> Adware.MediaTickets : Gesäubert.
C:\WINDOWS\YAXUninst.exe -> Adware.MediaTickets : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP182\A0194192.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195282.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195284.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195287.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195290.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195310.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195314.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195318.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195321.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195330.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195367.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195373.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195378.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195381.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195450.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195940.exe -> Adware.PurityScan : Gesäubert.
D:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195302.exe -> Adware.PurityScan : Gesäubert.
D:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195923.exe -> Adware.PurityScan : Gesäubert.
D:\Privat\Programme\Google\hbtools.exe -> Adware.Shopper : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195460.dll -> Adware.Softomate : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195399.rbf -> Backdoor.Agent.aim : Gesäubert.
C:\WINDOWS\system32\oins.exe -> Downloader.PurityScan.bt : Gesäubert.
D:\Privat\Programme\HijackThis\backups\backup-20061127-003549-189.dll -> Downloader.Small : Gesäubert.
:mozilla.12:C:\Dokumente und Einstellungen\bbilek\Anwendungsdaten\Mozilla\Firefox\Profiles\1p1309gs.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.13:C:\Dokumente und Einstellungen\bbilek\Anwendungsdaten\Mozilla\Firefox\Profiles\1p1309gs.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.14:C:\Dokumente und Einstellungen\bbilek\Anwendungsdaten\Mozilla\Firefox\Profiles\1p1309gs.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\bbilek\Anwendungsdaten\Mozilla\Firefox\Profiles\1p1309gs.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.16:C:\Dokumente und Einstellungen\bbilek\Anwendungsdaten\Mozilla\Firefox\Profiles\1p1309gs.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\bettina@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\bettina@oewabox[2].txt -> TrackingCookie.Oewabox : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195938.dll -> Trojan.BHO.b : Gesäubert.
C:\avenger\backup.zip/avenger/kbdhe32.dll -> Trojan.BHO.b : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP182\A0194190.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195281.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195285.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195288.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP184\A0195292.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195309.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195312.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195316.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195319.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195331.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195332.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195334.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195336.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195338.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195365.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195371.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195376.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195379.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195448.exe -> Trojan.Small : Gesäubert.
C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195937.exe -> Trojan.Small : Gesäubert.
D:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP185\A0195368.exe -> Trojan.Small : Gesäubert.


::Berichtende



und danke mal soweit für deine hilfe, echt super.. wahnsinn!
Dieser Beitrag wurde am 27.11.2006 um 01:27 Uhr von Corey8 editiert.
Seitenanfang Seitenende
27.11.2006, 12:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

3.
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2006, 16:35
Corey8
...neu hier

Themenstarter

Beiträge: 7
#7

Zitat

2.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
Incident Status Location

Potentially unwanted tool:application/funweb Not disinfected c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf
Adware:adware/yazzle Not disinfected Windows Registry
Potentially unwanted tool:application/mywebsearch Not disinfected hkey_classes_root\clsid\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Chincakepure\31401.del
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Chincakepure\Atom Type Grey.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Chincakepure\baldcwqf.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Chincakepure\file film new view.exe
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\bettina@adverserve[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\bettina@as1.falkag[1].txt
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Helpbluepeakbyte\mess bleh.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Helpbluepeakbyte\Soft dash.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Helpbluepeakbyte\Store Inter.exe
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\bbilek\Cookies\bbilek@as1.falkag[1].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\bbilek\Cookies\bbilek@statse.webtrendslive[2].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\bbilek\Cookies\bbilek@tradedoubler[2].txt



Zitat

3.
poste das neue Log vom HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 16:34:43, on 27.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Privat\Programme\HijackThis\Avg\guard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
D:\Privat\Programme\tuloxFreeWBS\tuloxFreeWBS\FreeDict.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Privat\PROGRA~1\ICQLite\ICQLite.exe
D:\Privat\Programme\iTunesHelper.exe
D:\Privat\Programme\iPod\bin\iPodService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msrr.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Privat\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.vbs-content.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.hasflo.vbs/proxyconfig/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.12.128.7:8000
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Privat\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Privat\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [tuloxFreeWBS] D:\Privat\Programme\tuloxFreeWBS\tuloxFreeWBS\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ICQ Lite] "D:\Privat\PROGRA~1\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "D:\Privat\Programme\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msrr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Privat\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Notebook-Start.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Privat\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Privat\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Privat\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http:\\www.vbs-content.net
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.5.1.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vbs
O17 - HKLM\Software\..\Telephony: DomainName = vbs
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vbs
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vbs
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Privat\Programme\HijackThis\Avg\guard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Privat\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
Seitenanfang Seitenende
28.11.2006, 00:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}

Files to delete:
c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf

Folders to delete:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Chincakepure
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Helpbluepeakbyte
**
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2006, 19:06
Corey8
...neu hier

Themenstarter

Beiträge: 7
#9

Zitat

1.Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}

Files to delete:
c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf

Folders to delete:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Chincakepure
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Helpbluepeakbyte
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ltdxnank
*******************

Script file located at: \??\C:\Program Files\pujktjpb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf deleted successfully.
Folder C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Chincakepure deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Helpbluepeakbyte deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Lesefehler
>C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP186\A0196048.exe infiziert mit Trojan.LopAd - gelöscht
>C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP186\A0196049.exe infiziert mit Trojan.Swizzor - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP186\A0196050.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP186\A0196051.exe infiziert mit Trojan.Swizzor - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP186\A0196052.exe infiziert mit Trojan.Swizzor - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{88E30522-91C5-4F17-92A8-0DC1A7FB2A14}\RP186\A0196053.exe infiziert mit Trojan.Swizzor - nicht desinfizierbar - verschoben
-------------------------------

edit (Sabina)
Dieser Beitrag wurde am 28.11.2006 um 19:10 Uhr von Corey8 editiert.
Seitenanfang Seitenende
29.11.2006, 00:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 es muesste wieder alles i.o. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 14:48
Corey8
...neu hier

Themenstarter

Beiträge: 7
#11

Zitat

Sabina postete
es muesste wieder alles i.o. sein ;)
hoffentlich, ich verlass mich auf dich ;)
aber danke nochmal für deine großartige hilfe.. bist ein schatz *g*
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1