TR/Dldr.Swizzor.Gen

#1 Hallo.
Ich bin neu hier und habe ein Problem mit dem Virus
TR/Dldr.Swizzor.Gen
kann mir vielleicht jemand helfen??

#2 Arbeite bitte folgendes ab: http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Logfile of HijackThis v1.99.1
Scan saved at 17:59:55, on 27.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\SPYWAREfighter\SPYWAREfighter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\rebecca\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\SearchTool\nsr11F.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [Windows Configuration System] IExplore.exe
O4 - HKLM\..\Run: [Svxhost] svxhtost.exe
O4 - HKLM\..\Run: [Repair Registry Pro] C:\Programme\Repair Registry Pro\RepairRegistryPro.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [MicrosoftInc] iexplorers.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\RunServices: [Svxhost] svxhtost.exe
O4 - HKLM\..\RunServices: [Windows Configuration System] IExplore.exe
O4 - HKLM\..\RunServices: [MicrosoftInc] iexplorers.exe
O4 - HKLM\..\RunServices: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnnsg.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServices: [MicrosoftInc] iexplorers.exe
O4 - Startup: MyAdultExplorer.lnk = C:\Dokumente und Einstellungen\rebecca\Eigene Dateien\Eigene Videos\MyAdultExplorer\myXexplorer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155145229348
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://de.bigfishgames.com/games/en_luxor/online/2/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E1B1249-3771-4853-9C43-404EF6F4696C}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Functional - Unknown owner - C:\WINDOWS\winx.exe (file missing)



ist das so richtig??

#4 Es fehlen noch die Punkte 2-4, aber an deiner Stelle wuerde ich den Rechner neu aufsetzen. Da sind mehr Malwareeintraege, als "normale".


Mal schauen, was bei den anderen Logs herauskommt......
__________
MfG Ralf
SEO-Spam Hunter

#5 rebecca - 06-11-27 18:34:07,68 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\rebecca\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-27 to 2006-11-27 ))))))))))))))))))))))))))))))))))


2006-11-27 18:08 <DIR> d-------- C:\Programme\CleanUp!
2006-11-27 15:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2006-11-27 15:40 <DIR> d-------- C:\Programme\SPYWAREfighter
2006-11-19 19:22 <DIR> d-------- C:\WINDOWS\pss
2006-11-15 19:30 <DIR> d-------- C:\Programme\tewi
2006-10-31 15:19 <DIR> d-------- C:\Programme\Common Files
2006-10-31 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\WinAntiVirus Pro 2006


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-27 18:34 382 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb1942.dat
2006-11-27 18:31 177152 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb4827.dat
2006-11-27 18:31 151 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb41.dat
2006-11-27 18:31 13046 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb5436.dat
2006-11-27 18:31 0 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb4604.dat
2006-11-27 18:28 -------- d-------- C:\Programme\Save
2006-11-27 15:41 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-27 15:14 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-22 21:56 0 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb2391.dat
2006-11-19 23:36 -------- d-------- C:\Programme\WinAntiVirus Pro 2006
2006-11-19 19:00 -------- d-------- C:\Programme\Internet Explorer
2006-11-16 16:53 0 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb8253.dat
2006-11-16 16:53 0 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb3902.dat
2006-11-16 16:53 0 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\internaldb153.dat
2006-10-31 15:19 702 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\update.log
2006-10-31 15:09 91856 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe
2006-10-20 10:40 -------- d-------- C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-10 15:59 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-08 14:39 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-08 14:39 -------- d-------- C:\Programme\EA Games
2006-10-08 14:38 -------- d-------- C:\Programme\Electronic Arts
2006-09-29 07:34 -------- d-------- C:\Programme\LG Electronics
2006-09-29 07:32 -------- d-------- C:\Programme\LGGSM
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-15 13:01 23 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\inifile41.ini
2006-08-13 16:21 19327 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\AdobeDLM.log
2006-08-13 16:21 0 --a------ C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\dm.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"WhenUSave"="\"C:\\Programme\\Save\\Save.exe\""
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"MicrosoftInc"="iexplorers.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Windows Security Protocol"="win32sprot.exe"
"Windows Configuration System"="IExplore.exe"
"Svxhost"="svxhtost.exe"
"Repair Registry Pro"="C:\\Programme\\Repair Registry Pro\\RepairRegistryPro.exe -s"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"MSNS PLUS XP2"="msnnsg.exe"
"MicrosoftInc"="iexplorers.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"BearShare"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spftray.exe"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Svxhost"="svxhtost.exe"
"Windows Configuration System"="IExplore.exe"
"MicrosoftInc"="iexplorers.exe"
"Windows Security Protocol"="win32sprot.exe"
"MSNS PLUS XP2"="msnnsg.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,d8,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Configuration System"="IExplore.exe"
"MicrosoftInc"="iexplorers.exe"
"Windows Security Protocol"="win32sprot.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"MicrosoftInc"="iexplorers.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Configuration System"="IExplore.exe"
"MicrosoftInc"="iexplorers.exe"
"Windows Security Protocol"="win32sprot.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"MicrosoftInc"="iexplorers.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\Automatic Update
Completion time: 06-11-27 18:35:30.16
C:\ComboFix.txt ... 06-11-27 18:35







So und was muss ich jetzt noch machen???
Den Rest auch noch???
Sorry aber ich mach das zum erstenmal....



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\DOKUME~1\rebecca\LOKALE~1\Temp

27.11.2006 18:47 512 ~DF9FA6.tmp
27.11.2006 18:47 327.680 ~DF9C6A.tmp
27.11.2006 18:46 512 ~DF2EC9.tmp
27.11.2006 18:46 376.832 ~DF2DD7.tmp
27.11.2006 18:44 16.384 Perflib_Perfdata_7d4.dat
21.11.2006 04:03 247 1F1205F7.TMP
6 Datei(en) 722.167 Bytes
0 Verzeichnis(se), 6.850.736.128 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\WINDOWS

27.11.2006 18:44 0 0.log
27.11.2006 18:44 1.522.422 WindowsUpdate.log
27.11.2006 18:44 50 wiaservc.log
27.11.2006 18:44 159 wiadebug.log
27.11.2006 18:43 2.048 bootstat.dat
27.11.2006 18:42 32.552 SchedLgU.Txt
27.11.2006 15:29 116 NeroDigital.ini
19.11.2006 19:30 227 system.ini
19.11.2006 19:30 583 win.ini
19.11.2006 19:04 227.119 comsetup.log
19.11.2006 19:04 796.903 iis6.log
19.11.2006 19:04 138.332 ntdtcsetup.log
19.11.2006 19:04 313.222 tsoc.log
19.11.2006 19:04 33.815 tabletoc.log
19.11.2006 19:04 1.393 imsins.log
19.11.2006 19:04 37.220 ocmsn.log
19.11.2006 19:04 18.798 KB923980.log
19.11.2006 19:04 44.920 medctroc.Log
19.11.2006 19:04 117.004 netfxocm.log
19.11.2006 19:04 343.548 ocgen.log
19.11.2006 19:04 33.897 msgsocm.log
19.11.2006 19:04 658.667 FaxSetup.log
19.11.2006 19:04 217.642 msmqinst.log
19.11.2006 19:04 1.393 imsins.BAK
19.11.2006 19:04 18.637 KB924270.log
19.11.2006 19:04 24.931 updspapi.log
19.11.2006 19:01 20.435 KB920213.log
19.11.2006 19:00 34.246 KB922760.log
15.11.2006 19:34 312 promillerechner.ini
15.11.2006 16:24 76.804 wmsetup.log
03.11.2006 15:59 235 wininit.ini
20.10.2006 10:45 13.503 KB924191.log
20.10.2006 10:45 13.340 KB922819.log
20.10.2006 10:45 12.506 KB923414.log
20.10.2006 10:44 14.677 KB924496.log
20.10.2006 10:44 9.686 KB923191.log
11.10.2006 21:30 229.753 setupapi.log
29.09.2006 12:33 12.238 KB925486.log
13.09.2006 06:57 11.956 KB920685.log
13.09.2006 06:56 14.103 KB920872.log
13.09.2006 06:56 12.154 KB919007.log
13.09.2006 06:56 8.118 KB922582.log
12.09.2006 15:04 316.640 WMSysPr9.prx
18.08.2006 18:17 403 ODBC.INI
17.08.2006 20:15 7.316 WgaNotify.log
17.08.2006 05:52 2.070 vminst.log
13.08.2006 22:22 30.144 spupdsvc.log
13.08.2006 17:14 16.869 KB917734.log
13.08.2006 17:13 21.650 KB920214.log
13.08.2006 17:13 23.377 KB911927.log
13.08.2006 17:13 22.607 KB922616.log
13.08.2006 17:13 23.204 KB896424.log
13.08.2006 17:12 22.561 KB911280.log
13.08.2006 17:12 21.946 KB911562.log
13.08.2006 17:12 23.069 KB900485.log
13.08.2006 17:12 21.427 KB917159.log
13.08.2006 17:11 22.130 KB921398.log
13.08.2006 17:11 19.604 KB887472.log
13.08.2006 17:11 15.432 KB910437.log
13.08.2006 17:10 25.387 KB918899.log
13.08.2006 17:10 10.833 KB911564.log
13.08.2006 17:09 17.598 KB920670.log
13.08.2006 17:09 16.837 KB918439.log
13.08.2006 17:09 18.347 KB914388.log
13.08.2006 17:09 17.308 KB917344.log
13.08.2006 17:09 20.670 KB917953.log
13.08.2006 17:08 16.906 KB917422.log
13.08.2006 17:08 16.530 KB912919.log
13.08.2006 17:08 15.442 KB916595.log
13.08.2006 17:08 16.388 KB908531.log
13.08.2006 17:08 15.673 KB913580.log
13.08.2006 17:07 14.807 KB911567.log
13.08.2006 17:07 14.486 KB908519.log
13.08.2006 17:07 14.750 KB920683.log
13.08.2006 17:07 14.620 KB914389.log
10.08.2006 00:40 11.300 KB921883.log
09.08.2006 20:27 24.328 KB907865.log
09.08.2006 20:27 24.160 KB906569.log
09.08.2006 20:26 26.902 KB905749.log
09.08.2006 20:25 26.309 KB905414.log
09.08.2006 20:25 23.775 KB904412.log
09.08.2006 20:24 23.473 KB903234.log
09.08.2006 20:23 29.884 KB902400.log
09.08.2006 20:22 21.972 KB901214.log
09.08.2006 20:21 21.148 KB901017.log
09.08.2006 20:20 21.183 KB900930.log
09.08.2006 20:19 22.903 KB900725.log
09.08.2006 20:18 20.551 KB899591.log
09.08.2006 20:18 20.147 KB899589.log
09.08.2006 20:17 20.627 KB899588.log
09.08.2006 20:16 20.098 KB899587.log
09.08.2006 20:16 19.729 KB898461.log
09.08.2006 20:15 19.220 KB897663.log
09.08.2006 20:14 17.478 KB896626.log
09.08.2006 20:14 18.920 KB896428.log
09.08.2006 20:13 19.436 KB896423.log
09.08.2006 20:13 18.728 KB896422.log
09.08.2006 20:12 19.672 KB896358.log
09.08.2006 20:11 20.815 KB894391.log
09.08.2006 20:11 19.035 KB893756.log
09.08.2006 20:10 16.876 KB893357.log
09.08.2006 20:10 29.034 KB890046.log
09.08.2006 20:08 16.090 KB893086.log
09.08.2006 20:07 13.987 KB893066.log
09.08.2006 20:07 14.533 KB891781.log
09.08.2006 20:06 16.623 KB890859.log
09.08.2006 20:05 11.073 KB890831.log
09.08.2006 20:05 12.331 KB890175.log
09.08.2006 20:04 11.830 KB890047.log
09.08.2006 20:03 9.834 KB889527.log
09.08.2006 20:02 8.871 KB889016.log
09.08.2006 20:02 10.474 KB888302.log
09.08.2006 20:02 10.287 KB888113.log
09.08.2006 20:01 10.199 KB887742.log
09.08.2006 20:01 9.789 KB886716.log
09.08.2006 20:01 8.102 KB886677.log
09.08.2006 20:00 20.821 KB886540.log
09.08.2006 19:58 9.353 KB886185.log
09.08.2006 19:58 9.392 KB885894.log
09.08.2006 19:57 6.347 KB885884.log
09.08.2006 19:57 8.066 KB885836.log
09.08.2006 19:57 8.567 KB885835.log
09.08.2006 19:56 8.622 KB885523.log
09.08.2006 19:56 7.638 KB885250.log
09.08.2006 19:55 6.416 KB885222.log
09.08.2006 19:55 6.744 KB884883.log
09.08.2006 19:54 5.313 KB884020.log
09.08.2006 19:54 6.696 KB873339.log
09.08.2006 19:54 7.099 KB873333.log
09.08.2006 19:45 892 Active Setup Log.txt
09.08.2006 19:37 1.863 OEWABLog.txt
09.08.2006 19:37 360 DtcInstall.log
09.08.2006 19:36 676.275 setuplog.txt
09.08.2006 19:32 433.990 svcpack.log
09.08.2006 19:31 186.586 KB904706.log
09.08.2006 19:24 200 cmsetacl.log
09.08.2006 19:23 1.330 sessmgr.setup.log
09.08.2006 18:16 8.099 KB893803v2.log
09.08.2006 18:14 1.168 KB896688.log
09.08.2006 18:07 1.484.694 setupapi.log.0.old
08.08.2006 20:20 13.512 Windows Upd




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.04.2006 14:44 318 WebCleaner.inf
06.04.2006 11:48 3.748.256 WebCleaner.dll
14.10.2005 11:49 587 MSNPupld.inf
14.10.2005 10:02 372.736 MsnPUpld.dll
21.06.2005 09:53 118.784 mjolauncher.dll
21.06.2005 09:52 230 mjolauncher.inf
26.05.2005 03:19 291 wuweb.inf
08.03.2005 23:51 65 desktop.ini
09.02.2005 15:54 1.271 erma.inf
05.11.2004 15:58 119.496 MsnMessengerSetupDownloader.ocx
13.07.2004 11:41 227 MsnMessengerSetupDownloader.inf
08.12.2003 13:58 3.759 swflash.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
29.05.2003 14:00 84.064 minesweeper.dll
29.05.2003 14:00 160.864 messengerstatsclient.dll
29.05.2003 14:00 86.112 solitaireshowdown.dll
19.06.2002 13:11 117.088 PURen-us.dll
31.05.2002 08:19 117.328 PURde-de.dll
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20 Datei(en) 4.935.024 Bytes
0 Verzeichnis(se), 6.850.396.160 Bytes frei



Ich denke jetzt habe ich es oder????

#6 Hi, fast da fehlen noch ein paar Infos. Z.B. der System32 Ordner und der tasks ordner. Beide sind wichtig. Denke bitte an die Zeitspanne!
__________
MfG Ralf
SEO-Spam Hunter

#7 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\WINDOWS\system32

27.11.2006 18:45 2.206 wpa.dbl
19.11.2006 23:30 2 stera.job
16.11.2006 06:20 10.474.920 MRT.exe
03.11.2006 15:46 2 stera.log
30.10.2006 08:55 311.740 perfh009.dat
30.10.2006 08:55 40.128 perfc009.dat
30.10.2006 08:55 316.924 perfh007.dat
30.10.2006 08:55 48.354 perfc007.dat
30.10.2006 08:55 723.744 PerfStringBackup.INI
16.10.2006 12:19 270.336 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
13.10.2006 13:35 64.000 nwapi32.dll
13.10.2006 13:35 65.536 nwwks.dll
14.09.2006 09:36 3.079.680 mshtml.dll
14.09.2006 09:36 670.208 wininet.dll
14.09.2006 09:36 474.624 shlwapi.dll
14.09.2006 09:36 617.984 urlmon.dll
14.09.2006 09:36 532.480 mstime.dll
14.09.2006 09:36 39.424 pngfilt.dll
14.09.2006 09:36 146.432 msrating.dll
14.09.2006 09:36 448.512 mshtmled.dll
14.09.2006 09:36 55.808 extmgr.dll
14.09.2006 09:36 15.872 jsproxy.dll
14.09.2006 09:36 357.888 dxtmsft.dll
14.09.2006 09:36 96.768 inseng.dll
14.09.2006 09:36 1.056.256 danim.dll
14.09.2006 09:36 251.904 iepeers.dll
14.09.2006 09:36 205.312 dxtrans.dll
14.09.2006 09:36 152.064 cdfview.dll
14.09.2006 09:36 1.022.976 browseui.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:13 1.497.088 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
20.08.2006 14:58 111.784 FNTCACHE.DAT
17.08.2006 13:28 132.096 wkssvc.dll
17.08.2006 13:28 729.600 lsasrv.dll
17.08.2006 13:28 332.288 netapi32.dll
16.08.2006 12:58 100.352 6to4svc.dll
09.08.2006 20:30 16.832 amcompat.tlb
09.08.2006 20:30 23.392 nscompat.tlb
09.08.2006 19:35 269 spupdwxp.log
09.08.2006 18:09 1.744 d3d9caps.dat
09.08.2006 18:09 1.632 d3d8caps.dat
08.08.2006 17:47 1.652 RFERRORS.TXT
08.08.2006 17:47 118 rfmsglog.txt
04.08.2006 19:18 57.384 avsda.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\

27.11.2006 19:47 0 sys.txt
27.11.2006 19:45 1.350 down.txt
27.11.2006 19:45 334 tmp.txt
27.11.2006 19:45 10.321 system.txt
27.11.2006 19:44 553 systemtemp.txt
27.11.2006 19:43 99.501 system32.txt
27.11.2006 18:43 267.968.512 hiberfil.sys
27.11.2006 18:43 402.653.184 pagefile.sys
27.11.2006 18:35 8.657 ComboFix.txt
19.11.2006 19:30 211 boot.ini
09.08.2006 19:09 47.564 NTDETECT.COM
09.08.2006 19:09 251.184 ntldr



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\WINDOWS\Temp

27.11.2006 18:51 409 WGANotify.settings
27.11.2006 18:43 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 6.843.023.360 Bytes frei



Was muss ich jetzt machen?

#8 Nagut, dann arbeiten wir mal einiges ab. Fix bitte folgendes(Anhaken fix checked druecken):

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\SearchTool\nsr11F.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [Windows Configuration System] IExplore.exe
O4 - HKLM\..\Run: [Svxhost] svxhtost.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [MicrosoftInc] iexplorers.exe
O4 - HKLM\..\RunServices: [Svxhost] svxhtost.exe
O4 - HKLM\..\RunServices: [Windows Configuration System] IExplore.exe
O4 - HKLM\..\RunServices: [MicrosoftInc] iexplorers.exe
O4 - HKLM\..\RunServices: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnnsg.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\RunServices: [MicrosoftInc] iexplorers.exe
O4 - Startup: MyAdultExplorer.lnk = C:\Dokumente und Einstellungen\rebecca\Eigene Dateien\Eigene Videos\MyAdultExplorer\myXexplorer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (*)
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (*)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155145229348
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://de.bigfishgames.com/games/en_luxor/online/2/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: Windows Functional - Unknown owner - C:\WINDOWS\winx.exe (file missing)

Dann bitte in den Abgesicherten Modus starten und diese Ordner loeschen:
C:\Programme\Save
C:\Programme\MyGlobalSearch

Antivir wie folgt einstellen und alle funde in Quarantaene schieben, danach bitte den Antivirbericht posten
http://board.protecus.de/t23979.htm

Das filelist Programm von http://members.linzag.net/680262/filelist.zip erzeugt auch noch eine Liste von dem Ordner tasks, das waere auch noch wichtig.

Ein neues Hijackthis log bitte auch noch erstellen.
__________
MfG Ralf
SEO-Spam Hunter

#9 Also jetzt hab ich noch ne frage wie komme ich in den Sicherenmodus?

#10 Oh, entschuldige: http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter

#11 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 27. November 2006 20:57

Es wird nach 567820 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: rebecca
Computername: BECCA-A577O4R3G

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 14.09.2006 12:16:05
AVSCAN.DLL : 7.0.0.45 41000 14.09.2006 12:16:05
LUKE.DLL : 7.0.0.47 118824 14.09.2006 12:16:12
LUKERES.DLL : 7.0.0.47 9256 14.09.2006 12:16:12
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 18:18:35
ANTIVIR1.VDF : 6.36.1.24 2212864 14.11.2006 17:55:57
ANTIVIR2.VDF : 6.36.1.80 161280 23.11.2006 14:14:51
ANTIVIR3.VDF : 6.36.1.93 38400 27.11.2006 14:14:51
AVEWIN32.DLL : 7.2.0.46 1925632 27.11.2006 14:14:53
AVPREF.DLL : 7.0.0.2 23080 14.09.2006 12:16:05
AVREP.DLL : 6.36.1.1 925736 19.11.2006 17:56:03
AVRPBASE.DLL : 7.0.0.0 2162728 05.05.2006 12:10:49
AVPACK32.DLL : 7.2.0.5 368680 27.10.2006 13:46:30
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 7.0.0.0 9768 14.09.2006 12:16:12
RCIMAGE.DLL : 7.0.0.74 1642536 14.09.2006 12:15:46
RCTEXT.DLL : 7.0.1.4 77864 29.09.2006 07:58:31

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: A,C,D,E,F
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,1005,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 8
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Montag, 27. November 2006 20:57


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 12 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 12 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bait Itch Inter 64\Roam drv.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45cc439e.qua' verschoben!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\rebecca\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\rebecca\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe
[FUND] Enthält Signatur des SPR/Dldr.WinFixer.O.26-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45d943ab.qua' verschoben!
C:\Dokumente und Einstellungen\rebecca\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\rebecca\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\rebecca\Lokale Einstellungen\Temp\Perflib_Perfdata_f0.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\exgvhiqf.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45d2491a.qua' verschoben!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 27. November 2006 21:23
Benötigte Zeit: 26:28 min

Der Suchlauf wurde vollständig durchgeführt.

2588 Verzeichnisse wurden überprüft
82206 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
664 Archive wurden durchsucht
25 Warnungen
1 Hinweise




----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\WINDOWS\tasks

27.11.2006 20:51 6 SA.DAT
18.08.2001 20:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 6.864.601.088 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\WINDOWS\Temp

27.11.2006 20:59 409 WGANotify.settings
27.11.2006 20:51 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 6.864.601.088 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CE1-42FF

Verzeichnis von C:\DOKUME~1\rebecca\LOKALE~1\Temp

27.11.2006 20:52 938.834 Gua75.tmp
27.11.2006 20:52 938.834 Gua76.tmp
27.11.2006 20:52 16.384 Perflib_Perfdata_f0.dat
27.11.2006 19:59 16.384 ~DFDE88.tmp
21.11.2006 06:11 247 1F1205F7.TMP
5 Datei(en) 1.910.683 Bytes
0 Verzeichnis(se), 6.864.601.088 Bytes frei



Ist das, dass richtige????

#12 100%ig. Loesche bitte noch diesen Ordner:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bait Itch Inter 64

starte neu und erstelle ein neues Hijackthis log....
__________
MfG Ralf
SEO-Spam Hunter

#13 raman
ich habe dir eine PM zum Thread hier geschrieben .
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Logfile of HijackThis v1.99.1
Scan saved at 21:30:31, on 10.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\rebecca\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Repair Registry Pro] C:\Programme\Repair Registry Pro\RepairRegistryPro.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E1B1249-3771-4853-9C43-404EF6F4696C}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#15 rachel01

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe

Folders to delete:
C:\Programme\Save
C:\Programme\WinAntiVirus Pro 2006
C:\Programme\Common Files\Companion Wizard
C:\Programme\BearShare
C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\update.log
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\rebecca\Anwendungsdaten\WinAntiVirus Pro 2006

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

loesche das backup unter C:\Avenger\backup.zip und leere den Papierkorb

««
scanne und poste den scanreport
http://virus-protect.org/counterspy.html

--------------------------------------------------------------------

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit