Home » Viren, Trojaner & Malware Forum » Tp-pck.klone.g.69 loswerden! » Themenansicht

Tp-pck.klone.g.69 loswerden!
#0
28.11.2006, 11:15
3Dfxlisa
...neu hier

Beiträge: 2
#1 Guten Morgen!

Ich habe einen sehr penetranten Besucher auf meinem PC, den TP-PCK.KLONE.G.69. Wie bei allen anderen Threaderstellern meckert Antivir zwar, aber kann nichts tun ;)

Ich habe ein Hijackthis Log erstellt und füge das gleich an. Wie kann ich diesen Störenfried loswerden?

Danke für eure Hilfe ;)

Lisa


Log:
Logfile of HijackThis v1.99.1
Scan saved at 11:12:52, on 28.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\niSvcLoc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nipalsm.exe
C:\WINNT\system32\nipalsm.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\{74D48793-052F-1031-1215-010103060031}\Update.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\rundll32.exe
C:\Office52\program\soffice.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINNT\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Wattle Software\XMLwriter 2\XMLwriter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ak.tfag.de/ads4_new/kunde/cashtipp/pop2/PopUnder_tofo2_181201.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.133.91.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [Network Service] C:\WINNT\svchost.exe-sr -0
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: WinZip Quick Pick.lnk = WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6187EFFA-72B6-42F3-A9FA-314081B78E8B} - file://T:\Installationsdateien\WebInstallation\FeedCheck2_0_5_0\setup.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134394312208
O20 - Winlogon Notify: pmkjj - C:\WINNT\system32\pmkjj.dll (file missing)
O20 - Winlogon Notify: winuuk32 - C:\WINNT\SYSTEM32\winuuk32.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Adaptive Server Anywhere - fc (ASANYs_fc) - Unknown owner - C:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: HL-Server (HLServer) - Aladdin Knowledge Systems Ltd. - C:\WINNT\system32\HLS32SVC.EXE
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: nidevldu - National Instruments Corporation - C:\WINNT\system32\nipalsm.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: nipxirmu - National Instruments Corporation - C:\WINNT\system32\nipalsm.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINNT\system32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
Seitenanfang Seitenende
28.11.2006, 11:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 3Dfxlisa

1.
Kopiere diese 6 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

2.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2006, 12:29
3Dfxlisa
...neu hier

Themenstarter

Beiträge: 2
#3 So, das habe ich erledigt:

System32.txt:
-------------
Datenträger in Laufwerk C: ist Lokaler Datenträger
Datenträgernummer: 74D4-8793

Verzeichnis von C:\WINNT\system32

28.11.2006 10:20 21.787 nvapps.xml
27.11.2006 14:46 16.384 Perflib_Perfdata_4f0.dat
27.11.2006 14:06 126.996 btejmvuq.dll
27.11.2006 14:06 110.612 gdhalvme.exe
27.11.2006 14:00 17.408 winuuk32.dll
23.11.2006 11:14 13 Winsm32.crc
22.11.2006 08:18 8.891 jupdate-1.5.0_09-b03.log
16.11.2006 06:20 10.474.920 MRT.exe
06.11.2006 16:55 1.043.968 midas_ct.dll
06.11.2006 16:55 1.043.968 midas.dll
04.11.2006 14:14 1.245.696 msxml4.dll
18.10.2006 12:45 2.703.360 MSHTML.DLL
17.10.2006 14:08 552 d3d8caps.dat
16.10.2006 15:21 132.096 MSRATING.DLL
16.10.2006 15:21 403.456 SHLWAPI.DLL
16.10.2006 15:21 1.340.416 SHDOCVW.DLL
16.10.2006 15:21 144.384 CDFVIEW.DLL
16.10.2006 15:21 1.017.856 BROWSEUI.DLL
16.10.2006 14:50 463.360 URLMON.DLL
16.10.2006 14:50 236.032 IEPEERS.DLL
16.10.2006 14:50 582.144 WININET.DLL
16.10.2006 14:50 498.176 MSTIME.DLL
16.10.2006 14:50 70.144 INSENG.DLL
16.10.2006 13:31 12.288 JSPROXY.DLL
16.10.2006 13:30 34.816 PNGFILT.DLL
16.10.2006 13:30 351.744 DXTMSFT.DLL
16.10.2006 13:30 192.512 DXTRANS.DLL
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
28.09.2006 11:04 65.967 niorbmap
28.09.2006 10:57 3.091 CONFIG.NT
20.09.2006 07:10 285 AddPort.ini
14.09.2006 11:39 8.775 jupdate-1.5.0_08-b03.log
14.09.2006 11:18 7.006 jupdate-1.5.0_06-b05.log
14.09.2006 09:38 8.615 jupdate-1.4.2_12-b03.log
14.09.2006 01:36 1.056.256 DANIM.DLL
13.09.2006 07:31 1.693.120 NTOSKRNL.EXE
13.09.2006 07:31 1.715.776 NTKRNLPA.EXE
07.09.2006 12:56 57.384 avsda.dll
06.09.2006 05:58 1.110.528 msxml3.dll
01.09.2006 11:55 15.072 spmsg.dll
01.09.2006 06:49 64.784 NWAPI32.DLL
01.09.2006 06:49 143.120 NWPROVAU.DLL


Systemtemp.txt:
-----------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 74D4-8793

Verzeichnis von C:\Temp

28.11.2006 10:40 8.959 BCG12F1.tmp
28.11.2006 10:40 8.959 BCG12F0.tmp
28.11.2006 10:40 11.991 BCG12EE.tmp
3 Datei(en) 29.909 Bytes
0 Verzeichnis(se), 17.978.613.760 Bytes frei

System.txt:
-----------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 74D4-8793

Verzeichnis von C:\WINNT

28.11.2006 10:20 248.474 hpoins07.log
28.11.2006 10:20 830.110 ShellIconCache
28.11.2006 09:47 1.315.372 WindowsUpdate.log
27.11.2006 15:33 126.942 ntbtlog.txt
21.11.2006 08:25 618.707 iis5.log
21.11.2006 08:25 259.374 comsetup.log
21.11.2006 08:25 1.429 imsins.log
21.11.2006 08:25 18.222 KB923980.log
21.11.2006 08:25 246.267 ocgen.log
21.11.2006 08:25 18.537 ockodak.log
21.11.2006 08:25 1.411 imsins.BAK
21.11.2006 08:25 17.833 KB924270.log
21.11.2006 08:24 57.169 updspapi.log
21.11.2006 08:24 9.156 KB922760-IE6SP1-20061018.120000.log
21.11.2006 08:24 13.928 KB920213.log
15.11.2006 11:10 146 fcp5.cfg
06.11.2006 08:23 51.018 cmbtll.lic
31.10.2006 10:39 250 BDEServer.ini
31.10.2006 08:19 833 ODBC.INI
31.10.2006 08:19 27.676 dasetup.log
27.10.2006 08:47 9.067 KB924191.log
25.10.2006 14:03 770 win.ini
24.10.2006 07:42 821.389 setupapi.log
18.10.2006 10:20 251 OracleSQL.ini
17.10.2006 13:06 6.780 EventSystem.log
16.10.2006 08:46 57 MySQL.ini
09.10.2006 11:13 7.724 OEWABLog.txt
20.09.2006 10:16 2.712 DevMgr.ini
20.09.2006 07:10 20 Hposcv07.INI
15.09.2006 09:27 971 vminst.log
14.09.2006 09:03 11.824 unmsjvm.log

temp.txt:
---------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 74D4-8793

Verzeichnis von C:\WINNT\Temp

28.11.2006 11:46 33.280 win1374.tmp.exe
28.11.2006 11:26 33.280 win1339.tmp.exe
28.11.2006 10:43 32.768 win12F2.tmp
28.11.2006 10:27 944 win12EA.tmp
28.11.2006 10:25 0 win12E7.tmp
28.11.2006 10:25 0 win12E8.tmp
28.11.2006 10:23 0 win12E6.tmp
28.11.2006 10:23 0 win12E5.tmp
28.11.2006 10:23 0 win12E4.tmp
28.11.2006 10:21 0 win12DF.tmp
28.11.2006 10:21 0 win12DE.tmp
11 Datei(en) 100.272 Bytes
0 Verzeichnis(se), 17.978.597.376 Bytes frei

down.txt:
--------

Darin war alles viel älter als 3 Monate.

sys.txt:
-------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 74D4-8793

Verzeichnis von C:\

28.11.2006 11:57 0 sys.txt
28.11.2006 11:57 1.433 down.txt
28.11.2006 11:57 811 tmp.txt
28.11.2006 11:57 9.099 system.txt
28.11.2006 11:57 381 systemtemp.txt
28.11.2006 11:56 132.921 system32.txt
28.11.2006 09:45 1.853.882.368 pagefile.sys
16.11.2006 09:31 127.488 Wasser_o_GW.doc
15.11.2006 10:16 32.768 vit_D3_.doc
13.11.2006 09:46 24.064 Eingabe der Vorlast hat welchen Einfluss auf den Ablauf.doc
10.11.2006 11:05 248.625 programmiersprachen.psd
10.11.2006 10:32 5.172 prog_spr.jpg
23.10.2006 14:37 204.288 Meldung_Kay_nach_Žnderung_Feld_23-10-06@1.doc
09.10.2006 07:27 104.448 Fehler_23_061002_Biet.doc
26.09.2006 08:42 1.354 Aenderungswuensche_Spritzkabine.txt
01.09.2006 09:40 29.184 Cuxhaven.xls


Und hier ist das Combofix-Protokoll:
elimlr - Tue 2006-11-28 12:19:01.57 Service Pack 4
ComboFix 06.11.27W - Running from: "C:\Programme\DatFind"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Inetget2
C:\Programme\Ipwins
C:\Programme\Gemeinsame Dateien\{34D48793-052F-1031-1215-010103060031}
C:\Programme\Gemeinsame Dateien\{74D48793-052F-1031-1215-010103060031}


((((((((((((((((((((((((((((((( Files Created from 2006-10-28 to 2006-11-28 ))))))))))))))))))))))))))))))))))


2006-11-28 11:55 <DIR> d-------- C:\Programme\DatFind
2006-11-28 11:10 <DIR> d-------- C:\Programme\Hijackthis
2006-11-28 09:21 <DIR> d-------- C:\Programme\CleanUp!
2006-11-27 14:06 57,384 --a------ C:\WINNT\system32\avsda.dll
2006-11-27 14:06 46,720 --a------ C:\WINNT\system32\drivers\avgntdd.sys
2006-11-27 14:06 126,996 --a------ C:\WINNT\system32\btejmvuq.dll
2006-11-27 14:06 110,612 --a------ C:\WINNT\system32\gdhalvme.exe
2006-11-27 14:06 11,904 --a------ C:\WINNT\system32\drivers\avgntmgr.sys
2006-11-27 14:06 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\AntiVir PersonalEdition Classic
2006-11-27 14:06 <DIR> d-------- C:\Programme\VSAdd-in
2006-11-27 14:06 <DIR> d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-11-27 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\elimlr.BUERO\Anwendungsdaten\SearchToolbarCorp
2006-11-27 14:00 17,408 --------- C:\WINNT\system32\winuuk32.dll
2006-11-24 10:14 <DIR> d-------- C:\Programme\IrfanView
2006-11-24 10:14 <DIR> d-------- C:\Programme\Google
2006-11-24 10:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\Google
2006-11-23 11:14 233,472 --a------ C:\WINNT\system32\Ilda32.dll
2006-11-23 11:14 <DIR> d-------- C:\Programme\CoffeeCup Software
2006-11-21 16:27 <DIR> d-------- C:\Programme\Micro-Sys Software
2006-11-20 11:32 <DIR> d-------- C:\Programme\Opera
2006-11-20 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\elimlr.BUERO\Anwendungsdaten\Opera
2006-11-17 11:53 <DIR> d-------- C:\Homepage_startseite
2006-11-15 12:30 <DIR> d-------- C:\Programme\Wattle Software
2006-11-15 10:42 <DIR> d-------- C:\Programme\High-Logic
2006-11-15 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\elimlr.BUERO\Anwendungsdaten\FontCreator
2006-11-14 13:37 <DIR> d-------- C:\Programme\NetObjects
2006-11-04 14:14 1,245,696 --a------ C:\WINNT\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-28 12:23 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-11-24 15:52 -------- d-------- C:\Dokumente und Einstellungen\elimlr.BUERO\Anwendungsdaten\Google
2006-11-24 14:44 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-22 08:18 -------- d-------- C:\Programme\Java
2006-11-14 13:37 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-13 08:57 -------- d-------- C:\Programme\SoftLogica
2006-11-08 11:58 -------- d-------- C:\Programme\CheckTec
2006-11-07 15:49 -------- d-------- C:\Programme\Borland
2006-11-06 16:55 1043968 --a------ C:\WINNT\system32\midas_ct.dll
2006-11-06 16:55 1043968 --a------ C:\WINNT\system32\midas.dll
2006-10-24 16:04 -------- d-------- C:\Dokumente und Einstellungen\elimlr.BUERO\Anwendungsdaten\nView_Wallpaper
2006-10-16 12:24 0 --a------ C:\Programme\variablen.txt
2006-10-09 11:13 -------- d-a------ C:\Programme\Outlook Express
2006-10-09 11:13 -------- d-a------ C:\Programme\Gemeinsame Dateien\System
2006-10-09 11:13 -------- d-a------ C:\Programme\Gemeinsame Dateien\Dienste
2006-10-09 11:11 -------- d-a------ C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-06 14:59 -------- d-a------ C:\Programme\WinZip
2006-10-04 15:18 -------- d-------- C:\Dokumente und Einstellungen\elimlr.BUERO\Anwendungsdaten\Microsoft
2006-10-04 14:05 -------- d-------- C:\Programme\MSXML 4.0
2006-09-28 11:44 -------- d-------- C:\Programme\National Instruments
2006-09-28 11:05 -------- d-------- C:\Programme\Gemeinsame Dateien\National Instruments Shared
2006-09-13 07:31 1715776 --a------ C:\WINNT\system32\NTKRNLPA.EXE
2006-09-13 07:31 1693120 --a------ C:\WINNT\system32\NTOSKRNL.EXE
2006-09-06 05:58 1110528 --a------ C:\WINNT\system32\msxml3.dll
2006-09-01 06:49 64784 --a------ C:\WINNT\system32\NWAPI32.DLL
2006-09-01 06:49 143120 --a------ C:\WINNT\system32\NWPROVAU.DLL
2006-08-28 09:44 530192 --a------ C:\WINNT\system32\comctl32.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"AtiPTA"="atiptaxx.exe"
"SO5 Integrator Pass Two"="C:\\WINNT\\SOINTGR.EXE"
"HPAIO_PrintFolderMgr"="C:\\WINNT\\System32\\spool\\DRIVERS\\W32X86\\hpoopm07.exe"
"Network Service"="C:\\WINNT\\svchost.exe-sr -0"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"LVCOMS"="C:\\Programme\\Gemeinsame Dateien\\Logitech\\QCDriver3\\LVCOMS.EXE"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINNT\\system32\\NvMcTray.dll,NvTaskbarInit"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000002

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,72,05,00,00,00,00,00,00,8e,04,00,00,00,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6b,02,00,00,e1,00,00,00,a2,00,00,00,96,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuuk32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\Symantec NetDetect.job

Completion time: Tue 2006-11-28 12:24:20.70
C:\ComboFix.txt ... 06-11-28 12:24
C:\ComboFix2.txt ... 06-11-28 12:10

Ich hoffe ich hab alles richtig gemacht ;)

Liebe Grüße,

Lisa
Seitenanfang Seitenende
28.11.2006, 12:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 3Dfxlisa

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Network Service

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuuk32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74DD705D-6834-439C-A735-A6DBE2677452}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74DD705D-6834-439C-A735-A6DBE2677452}

Files to delete:
C:\Temp\BCG12F1.tmp
C:\Temp\BCG12F0.tmp
C:\Temp\BCG12EE.tmp
C:\WINNT\system32\btejmvuq.dll
C:\WINNT\system32\gdhalvme.exe
C:\WINNT\system32\winuuk32.dll
C:\WINNT\svchost.exe
C:\WINNT\Temp\win1374.tmp.exe
C:\WINNT\Temp\win1339.tmp.exe
C:\WINNT\Temp\win12F2.tmp
C:\WINNT\Temp\win12EA.tmp
C:\WINNT\Temp\win12E7.tmp
C:\WINNT\Temp\win12E8.tmp
C:\WINNT\Temp\win12E6.tmp
C:\WINNT\Temp\win12E5.tmp
C:\WINNT\Temp\win12E4.tmp
C:\WINNT\Temp\win12DF.tmp
C:\WINNT\Temp\win12DE.tmp

Folders to delete:
C:\Programme\VSAdd-in
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\SearchToolbarCorp


Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

»»
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1