Home » Viren, Trojaner & Malware Forum » Ich will den TR/Dldr.Swizzor.Gen - Trojan entfernen!!! » Themenansicht

Ich will den TR/Dldr.Swizzor.Gen - Trojan entfernen!!!

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.12.2006, 22:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 Ghosttalker2

»»
gehe in die registry
Start - Ausführen - regedit

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
Start Save -> loeschen

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|DEBUGMESSMOVEOWNS
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{C1A2FDA2-2A5B-2C8A-F2A2-BA2DB3A2C31C}

Files to delete:
C:\WINDOWS\System32\wiatwain.dll
C:\WINDOWS\tasks\A00BFB88918C7788.job

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Pure Debug Mess

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
loesche:
C:\Spiele\MsgPlus.exe + alles vom MessengerPlus3

««
scanne mit dr.web
http://virus-protect.org/cureit.html

»»
poste das log vom HIjackThis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.12.2006, 14:51
Ghosttalker2
...neu hier

Beiträge: 4
#47 Moin Moin,

vielen Dank für Deine Hilfe, ich hab das alles gemacht, allerdings hat Avenger die Datei
File C:\WINDOWS\System32\wiatwain.dll nicht gefunden und demzufolge auch nicht löschen können...

Alles andere hab ich wie beschrieben abgearbeitet und das HiJack Logfile sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 14:49:17, on 14.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ghosttalker\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyrican.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6B953E8F-B3F4-B884-9A4B-091B5D39AF39} - C:\DOKUME~1\GHOSTT~1\ANWEND~1\OPENPL~1\gram nurb.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Losung-Autostart.lnk = C:\Programme\LOSUNG\STARTLOS.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100528967437
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A072C353-5652-44C1-B5C8-899767347086}: NameServer = 194.25.2.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Vielen Dank schonmal für die Hilfe!

Gruß,
Ghosttalker2
Seitenanfang Seitenende
14.12.2006, 15:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 Ghosttalker2

öffne das HijackThis -- Button "scan" -- vor diesen Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {6B953E8F-B3F4-B884-9A4B-091B5D39AF39} - C:\DOKUME~1\GHOSTT~1\ANWEND~1\OPENPL~1\gram nurb.exe (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll
**
scanne mit Counterspy, loesche dann mit remove den ganzen MessengerPlus -Muell
http://virus-protect.org/counterspy.html

»»
dann, nach 14 Tagen - kaufe oder deinstalliere den counterspy......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2007, 18:11
keneo
...neu hier

Beiträge: 2
#49 Jo hallihallo..
Ich hab auch den Swizzor eingefangen..schon Hijackthis drüberlaufen lassen und bei hijackthis.de mal den log eingegeben, hat aber nix besondres gefunden dort..

hier mal der ComboFix log

Zitat

Administrator - 07-01-04 18:08:07,23 Service Pack 2
ComboFix 06.11.27 - Running from: "I:\Dokumente und Einstellungen\Administrator\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-12-04 to 2007-01-04 ))))))))))))))))))))))))))))))))))


2007-01-04 18:00 <DIR> d-------- I:\Avenger
2007-01-02 13:24 581,632 --a------ I:\WINDOWS\system32\sybexlda.scr
2007-01-02 13:24 <DIR> d-------- I:\Programme\SYBEX
2006-12-29 11:06 <DIR> d-------- I:\Songtexte
2006-12-28 12:50 <DIR> d-------- I:\Programme\Axis Boob
2006-12-28 12:50 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deadjoyhold16
2006-12-28 12:50 <DIR> d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\NetPumper
2006-12-28 12:50 <DIR> d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Axis Boob
2006-12-27 18:55 <DIR> d-------- I:\Programme\ICQ6
2006-12-27 18:55 <DIR> d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ6
2006-12-18 18:51 <DIR> d-------- I:\ed168032db5be77d865a1a1c9e3d
2006-12-18 16:11 <DIR> d-------- I:\Programme\Windows Media Connect 2
2006-12-18 16:10 <DIR> d-------- I:\WINDOWS\system32\drivers\UMDF
2006-12-18 14:15 81,920 --a------ I:\WINDOWS\system32\viscomwave.dll
2006-12-18 14:15 475,136 --a------ I:\WINDOWS\system32\SkinCrafter.dll
2006-12-18 14:15 139,264 --a------ I:\WINDOWS\system32\viscomqtde.dll
2006-12-18 14:15 <DIR> d-------- I:\Programme\Plato Video To 3GP Converter


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-04 17:51 -------- d-------- I:\Programme\Trillian
2007-01-04 13:36 -------- d-------- I:\Programme\AntiVir PersonalEdition Classic
2007-01-02 16:04 5632 --ahs---- I:\Programme\Thumbs.db
2006-12-30 18:20 -------- d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2006-12-27 18:55 -------- d--h----- I:\Programme\InstallShield Installation Information
2006-12-27 18:32 -------- d-------- I:\Programme\Java
2006-12-25 22:09 -------- d-------- I:\Programme\Opera
2006-12-25 00:35 -------- d-------- I:\Programme\Gemeinsame Dateien\Adobe
2006-12-25 00:35 -------- d-------- I:\Programme\Adobe
2006-12-25 00:33 -------- d-------- I:\Programme\Gemeinsame Dateien
2006-12-25 00:33 -------- d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
2006-12-18 19:12 -------- d-------- I:\Programme\Windows Media Player
2006-12-18 15:32 -------- d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire
2006-12-18 13:21 -------- d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2006-12-14 21:20 34304 --a------ I:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-14 21:20 14848 --a------ I:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-14 16:45 -------- d-------- I:\Programme\Internet Explorer
2006-12-14 16:43 -------- d-------- I:\Programme\Outlook Express
2006-12-14 16:43 -------- d-------- I:\Programme\Gemeinsame Dateien\System
2006-12-07 06:29 2374472 --a------ I:\WINDOWS\system32\wmvcore(2).dll
2006-12-03 11:28 286720 --a------ I:\WINDOWS\iun506.exe
2006-11-25 13:17 -------- d-------- I:\Programme\TechnoTrend
2006-11-16 21:12 -------- d-------- I:\Programme\Porrasturvat - Stair Dismount
2006-11-16 21:07 -------- d-------- I:\Programme\Truck Dismount
2006-11-15 18:47 -------- d-------- I:\Programme\MSXML 4.0
2006-11-14 17:21 -------- d-------- I:\Programme\Yahoo!
2006-11-14 17:20 -------- d-------- I:\Programme\Pinnacle
2006-11-14 17:13 -------- d-------- I:\Programme\Gemeinsame Dateien\ScanSoft Shared
2006-11-14 17:12 -------- d-------- I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2006-11-14 17:11 -------- d-------- I:\Programme\ICQ Skins & Wallpapers
2006-11-14 17:10 -------- d-------- I:\Programme\Game Cam
2006-11-08 06:06 679424 --a------ I:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ I:\WINDOWS\system32\msxml4.dll
2006-10-24 20:33 8282112 --a------ I:\WINDOWS\system32\wmploc.dll
2006-10-24 20:04 99840 --a------ I:\WINDOWS\system32\wmpshell.dll
2006-10-24 20:04 275968 --a------ I:\WINDOWS\system32\wmerror.dll
2006-10-24 20:02 8192 --a------ I:\WINDOWS\system32\asferror.dll
2006-10-20 02:38 715776 --a------ I:\WINDOWS\system32\sxs.dll
2006-10-18 23:03 43008 --------- I:\WINDOWS\system32\wpdshextres.dll
2006-10-18 22:58 8704 --a------ I:\WINDOWS\system32\wdfmgr.exe
2006-10-18 22:58 8704 --a------ I:\WINDOWS\system32\uwdf.exe
2006-10-18 22:47 991744 --a------ I:\WINDOWS\system32\drmv2clt.dll
2006-10-18 22:47 937984 --a------ I:\WINDOWS\system32\WMNetMgr.dll
2006-10-18 22:47 767488 --------- I:\WINDOWS\system32\WMVSENCD.dll
2006-10-18 22:47 757248 --a------ I:\WINDOWS\system32\WMADMOD.dll
2006-10-18 22:47 656896 --------- I:\WINDOWS\system32\WMVXENCD.dll
2006-10-18 22:47 63488 --a------ I:\WINDOWS\system32\wpdmtpus.dll
2006-10-18 22:47 629760 --a------ I:\WINDOWS\system32\wpd_ci.dll
2006-10-18 22:47 613376 --------- I:\WINDOWS\system32\wmpmde.dll
2006-10-18 22:47 603648 --a------ I:\WINDOWS\system32\WMSPDMOD.dll
2006-10-18 22:47 542720 --a------ I:\WINDOWS\system32\blackbox.dll
2006-10-18 22:47 535040 --------- I:\WINDOWS\system32\wmdrmsdk.dll
2006-10-18 22:47 429056 --a------ I:\WINDOWS\system32\wmdrmdev.dll
2006-10-18 22:47 414208 --a------ I:\WINDOWS\system32\msscp.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\wmvdmoe2.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\wmvdmod.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\WMVADVE.DLL
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\WMVADVD.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\wmsdmoe2.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\wmsdmod.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\wdfapi.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\MPG4DMOD.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\MP4SDMOD.dll
2006-10-18 22:47 4096 --a------ I:\WINDOWS\system32\MP43DMOD.dll
2006-10-18 22:47 37376 --a------ I:\WINDOWS\system32\wmdmps.dll
2006-10-18 22:47 35840 --a------ I:\WINDOWS\system32\wpdconns.dll
2006-10-18 22:47 356352 --a------ I:\WINDOWS\system32\wpdsp.dll
2006-10-18 22:47 348672 --a------ I:\WINDOWS\system32\wmdrmnet.dll
2006-10-18 22:47 33792 --a------ I:\WINDOWS\system32\wmdmlog.dll
2006-10-18 22:47 321536 --a------ I:\WINDOWS\system32\mswmdm.dll
2006-10-18 22:47 317440 --------- I:\WINDOWS\system32\MP4SDECD.dll
2006-10-18 22:47 314880 --a------ I:\WINDOWS\system32\wmpdxm.dll
2006-10-18 22:47 295936 --------- I:\WINDOWS\system32\wmpeffects.dll
2006-10-18 22:47 284160 --------- I:\WINDOWS\system32\PortableDeviceApi.dll
2006-10-18 22:47 276992 --a------ I:\WINDOWS\system32\audiodev.dll
2006-10-18 22:47 27136 --a------ I:\WINDOWS\system32\mspmsnsv.dll
2006-10-18 22:47 2603008 --------- I:\WINDOWS\system32\WpdShext.dll
2006-10-18 22:47 259072 --------- I:\WINDOWS\system32\MPG4DECD.dll
2006-10-18 22:47 259072 --------- I:\WINDOWS\system32\MP43DECD.dll
2006-10-18 22:47 2450944 --a------ I:\WINDOWS\system32\wmvcore.dll
2006-10-18 22:47 242688 --a------ I:\WINDOWS\system32\wmpasf.dll
2006-10-18 22:47 229376 --a------ I:\WINDOWS\system32\cewmdm.dll
2006-10-18 22:47 222208 --a------ I:\WINDOWS\system32\WMASF.dll
2006-10-18 22:47 212992 --------- I:\WINDOWS\system32\MFPLAT.dll
2006-10-18 22:47 211456 --a------ I:\WINDOWS\system32\qasf.dll
2006-10-18 22:47 204288 --a------ I:\WINDOWS\system32\wmpsrcwp.dll
2006-10-18 22:47 199168 --------- I:\WINDOWS\system32\PortableDeviceWMDRM.dll
2006-10-18 22:47 179712 --a------ I:\WINDOWS\system32\msnetobj.dll
2006-10-18 22:47 175616 --a------ I:\WINDOWS\system32\mspmsp.dll
2006-10-18 22:47 166912 --------- I:\WINDOWS\system32\PortableDeviceTypes.dll
2006-10-18 22:47 1661440 --a------ I:\WINDOWS\system32\wmpencen.dll
2006-10-18 22:47 1574912 --------- I:\WINDOWS\system32\WMVENCOD.dll
2006-10-18 22:47 157184 --a------ I:\WINDOWS\system32\wmidx.dll
2006-10-18 22:47 154624 --a------ I:\WINDOWS\system32\wpdmtp.dll
2006-10-18 22:47 1543680 --------- I:\WINDOWS\system32\WMVDECOD.dll
2006-10-18 22:47 1382912 --------- I:\WINDOWS\system32\WMVSDECD.dll
2006-10-18 22:47 133632 --------- I:\WINDOWS\system32\WPDShServiceObj.dll
2006-10-18 22:47 1329152 --a------ I:\WINDOWS\system32\WMSPDMOE.dll
2006-10-18 22:47 132096 --------- I:\WINDOWS\system32\PortableDeviceWiaCompat.dll
2006-10-18 22:47 130048 --------- I:\WINDOWS\system32\wmpps.dll
2006-10-18 22:47 11264 --a------ I:\WINDOWS\system32\LAPRXY.dll
2006-10-18 22:47 1117696 --a------ I:\WINDOWS\system32\WMADMOE.dll
2006-10-18 22:47 101888 --------- I:\WINDOWS\system32\PortableDeviceClassExtension.dll
2006-10-18 21:03 100864 --a------ I:\WINDOWS\system32\logagent.exe
2006-10-18 21:00 249856 --------- I:\WINDOWS\system32\drmupgds.exe
2006-10-18 21:00 17408 --------- I:\WINDOWS\system32\wpdshextautoplay.exe
2006-10-13 13:35 65536 --a------ I:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ I:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ I:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"LDM"="I:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"
"ctfmon.exe"="I:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="I:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"STYLEXP"="I:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="E:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Anti-Blaxx Manager"="I:\\Programme\\Anti-Blaxx 1.18\\Anti-Blaxx.exe"
"ATIPTA"="I:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SetDefPrt"="I:\\Programme\\Brother\\Brmfl05a\\BrStDvPt.exe"
"avgnt"="\"I:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"I:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"MSConfig"="I:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="I:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="I:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"=dword:00000001
"NoDispCPL"=dword:00000000
"ConnectHomeDirToRoot"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoSetFolders"=dword:00000000
"NoSetTaskbar"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoRun"=dword:00000000
"NoFind"=dword:00000000
"NoMultiIE"=dword:00000000
"LWA"=dword:00000000
"LWB"=dword:00000000
"LWC"=dword:00000000
"LWD"=dword:00000000
"LWE"=dword:00000000
"LWF"=dword:00000000
"LWG"=dword:00000000
"LWH"=dword:00000000
"LWI"=dword:00000000
"LWJ"=dword:00000000
"LWK"=dword:00000000
"LWL"=dword:00000000
"LWM"=dword:00000000
"LWN"=dword:00000000
"LWO"=dword:00000000
"LWP"=dword:00000000
"LWQ"=dword:00000000
"LWR"=dword:00000000
"LWS"=dword:00000000
"LWT"=dword:00000000
"LWU"=dword:00000000
"LWV"=dword:00000000
"LWW"=dword:00000000
"LWX"=dword:00000000
"LWY"=dword:00000000
"LWZ"=dword:00000000
"NoDrives"=dword:00000000
"ForceClassicControlPanel"=dword:00000000
"NoControlPanel"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="I:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="I:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="I:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger Agent.lnk]
"path"="I:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger Agent.lnk"
"backup"="I:\\WINDOWS\\pss\\Logitech Desktop Messenger Agent.lnkCommon Startup"
"location"="Common Startup"
"command"="I:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LDMConf.exe /start"
"item"="Logitech Desktop Messenger Agent"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
"path"="I:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech SetPoint.lnk"
"backup"="I:\\WINDOWS\\pss\\Logitech SetPoint.lnkCommon Startup"
"location"="Common Startup"
"command"="I:\\PROGRA~1\\Logitech\\SetPoint\\SetPoint.exe "
"item"="Logitech SetPoint"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="I:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="I:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="I:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
"path"="I:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Status Monitor.lnk"
"backup"="I:\\WINDOWS\\pss\\Status Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="I:\\PROGRA~1\\Brother\\Brmfcmon\\BrMfcWnd.exe Brother DCP-315CN /STARTUP"
"item"="Status Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\I:^Dokumente und Einstellungen^Ken^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="I:\\Dokumente und Einstellungen\\Ken\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="I:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="I:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CLIStart"
"hkey"="HKLM"
"command"="\"I:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="brctrcen"
"hkey"="HKLM"
"command"="I:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"I:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"I:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\icq]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQ6"
"hkey"="HKCU"
"command"="\"I:\\Programme\\ICQ6\\ICQ6.exe\" silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Plus]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="vplus"
"hkey"="HKCU"
"command"="\"I:\\Programme\\ICQPlus\\vplus.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IndexSearch"
"hkey"="HKLM"
"command"="I:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"I:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KHALMNPR"
"hkey"="HKLM"
"command"="KHALMNPR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Logi_MwX"
"hkey"="HKLM"
"command"="Logi_MwX.Exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"I:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pptd40nt"
"hkey"="HKLM"
"command"="I:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCMService"
"hkey"="HKLM"
"command"="\"I:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SANSUNMouse ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mousedriver"
"hkey"="HKLM"
"command"="I:\\Programme\\Mouse Driver\\mousedriver.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"E:\\Nützliches\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SSBkgdupdate"
"hkey"="HKLM"
"command"="\"I:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TerraTec Remote Control]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TTTVRC"
"hkey"="HKLM"
"command"="I:\\Programme\\TerraTec\\Cinergy 400 TV\\TTTVRC.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"I:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -u"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -u"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSvr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WinSvr"
"hkey"="HKLM"
"command"="I:\\WINDOWS\\system32\\WinSvr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\_winadm]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winadm"
"hkey"="HKLM"
"command"="I:\\WINDOWS\\system32\\winadm.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=dword:00000003
"CyberLink Media Library Service"=dword:00000002
"CLSched"=dword:00000002
"CLCapSvc"=dword:00000002
"IDriverT"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
I:\WINDOWS\tasks\A4909C8391EF1823.job

Completion time: 07-01-04 18:09:15.37
I:\ComboFix.txt ... 07-01-04 18:09
I:\ComboFix2.txt ... 07-01-04 17:53

und hier die Hijackthis-log

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 18:09:52, on 04.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\TGTSoft\StyleXP\StyleXPService.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\brsvc01a.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\brss01a.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
I:\Programme\Java\jre1.5.0_10\bin\jusched.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
I:\Programme\TGTSoft\StyleXP\StyleXP.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
I:\WINDOWS\system32\oodag.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\Opera\Opera.exe
E:\Nützliches\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - E:\Nützliches\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - I:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Anti-Blaxx Manager] I:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SetDefPrt] I:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] I:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LDM] I:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] I:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - I:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - I:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ6.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ6.exe
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - I:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - I:\WINDOWS\system32\brsvc01a.exe
O23 - Service: O&O Defrag - O&O Software GmbH - I:\WINDOWS\system32\oodag.exe
O23 - Service: StyleXPService - Unknown owner - I:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Ich hoffe ihr könnt mir weiterhelfen^^
Seitenanfang Seitenende
05.01.2007, 00:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 keneo

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\_winadm
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSvr

Files to delete:
I:\WINDOWS\tasks\A4909C8391EF1823.job

Folders to delete:
I:\Programme\Axis Boob
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deadjoyhold16
I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\NetPumper
I:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Axis Boob
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter I:\Avenger\backup.zip + leere den Papierkorb

»»
scanne mit counterspy und lasse alles, was gefunden wird , vor allem den netpumper-Muell...loeschen
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2007, 13:49
keneo
...neu hier

Beiträge: 2
#51 Alles klar vielen dank ;)
Avenger hat den Swizzor gekillt ;)
Ich frag mich trotzdem wie das ganze zeug auf meinen PC kommt, netpumper hat mein Bruder geladen, Aber ich geh davon aus das der rest so ein Muell ist der immer in den Spam-mails ist...Letztens eine gefälschte mail von"der sparkasse" bekommen, blos gelesen schon hat ich eienn Virus drauf, könnt das sowas sein?
CounterSpy hat auch noch einiges Gefunden.

Ich bedanke mich dann mal herzlichst.
MFG Keneo
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234