Vireninfekt! Bitte um Unterstützung |
||
---|---|---|
#0
| ||
03.12.2006, 02:16
...neu hier
Beiträge: 5 |
||
|
||
03.12.2006, 15:36
Ehrenmitglied
Beiträge: 29434 |
#2
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) wuamkop32.exe in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) msnnsg.exe in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) QualityCodec in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ________________________ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\__________________________ Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\msnnsg*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\wuamkop32*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2006, 22:14
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo!!! Vielen Dank erst mal!
Hier die gewünschten logs: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 03.12.2006 21:56:54 for strings: ; 'wuamkop32.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft Update"="wuamkop32.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Microsoft Update"="wuamkop32.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\OLE] "Microsoft Update"="wuamkop32.exe" [HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\OLE] "Microsoft Update"="wuamkop32.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\OLE] "Microsoft Update"="wuamkop32.exe" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 03.12.2006 22:00:45 for strings: ; 'msnnsg.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSNS PLUS XP2"="msnnsg.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "MSNS PLUS XP2"="msnnsg.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\OLE] "MSNS PLUS XP2"="msnnsg.exe" [HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\OLE] "MSNS PLUS XP2"="msnnsg.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\OLE] "MSNS PLUS XP2"="msnnsg.exe" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 03.12.2006 22:04:27 for strings: ; 'qualitycodec' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}\InprocServer32] @="C:\\Programme\\QualityCodec\\iesplugin.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4734044c-7427-43d8-adbe-df942e52bef2}\InprocServer32] @="C:\\Programme\\QualityCodec\\isaddon.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "isamonitor.exe"="C:\\Programme\\QualityCodec\\isamonitor.exe" "pmsngr.exe"="C:\\Programme\\QualityCodec\\pmsngr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006] "UninstallString"="\"C:\\Programme\\QualityCodec\\iesuninst.exe\"" [HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Internet Security] "Path"="C:\\Programme\\QualityCodec" [HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "h"="C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe" [HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\0XA7SLA7\\qualitycodec.301[1].exe"="qualitycodec.301[1]" "C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\23UV01YL\\qualitycodec.301[1].exe"="qualitycodec.301[1]" "C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe"="qualitycodec.301" "C:\\Programme\\QualityCodec\\pmsngr.exe"="pmsngr" ; End Of The Log... Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: FC96-3252 Verzeichnis von c:\WINDOWS\system32 17.08.2006 20:29 3.531 msnnsg.exe-up.txt 1 Datei(en) 3.531 Bytes Anzahl der angezeigten Dateien: 1 Datei(en) 3.531 Bytes 0 Verzeichnis(se), 11.269.718.016 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: FC96-3252 Ich hoffe du kannst was damit anfangen. Danke im Voraus. Gruß Thomas |
|
|
||
03.12.2006, 22:32
Ehrenmitglied
Beiträge: 29434 |
#4
Honko
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4____________________________________________________________ 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html _________________________________ »» scanne und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2006, 01:48
...neu hier
Themenstarter Beiträge: 5 |
#5
Vielen Dank nochmals!
Hier die neuen logs: Ich hoffe es sind die richtigen! Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\pxwkbtvt ******************* Script file located at: \??\C:\WINDOWS\System32\rjy^ndtn.txt Script file opened successfully. Script file read successfully SmitFraudFix v2.127 Scan done at 1:06:35,21, 04.12.2006 Run from C:\Dokumente und Einstellungen\Fabian\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\okkmtv.dll not found! Deletion of file C:\WINDOWS\system32\okkmtv.dll failed! Could not process line: C:\WINDOWS\system32\okkmtv.dll Status: 0xc0000034 File C:\WINDOWS\system32\msnnsg.exe-up.txt deleted successfully. File C:\WINDOWS\system32\msnnsg.exe not found! Deletion of file C:\WINDOWS\system32\msnnsg.exe failed! Could not process line: C:\WINDOWS\system32\msnnsg.exe Status: 0xc0000034 Could not open file C:\Dokumente und Einstellungen\%User%\Eigene Dateien\qualitycodec.301.exe for deletion Deletion of file C:\Dokumente und Einstellungen\%User%\Eigene Dateien\qualitycodec.301.exe failed! Could not process line: C:\Dokumente und Einstellungen\%User%\Eigene Dateien\qualitycodec.301.exe Status: 0xc000003a Folder C:\Programme\QualityCodec deleted successfully. Could not open folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XA7SLA7 for deletion Deletion of folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XA7SLA7 failed! Could not process line: C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XA7SLA7 Status: 0xc000003a Could not open folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23UV01YL for deletion Deletion of folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23UV01YL failed! Could not process line: C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23UV01YL Status: 0xc000003a Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft Update Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft Update failed! Status: 0xc0000034 Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MSNS PLUS XP2 Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MSNS PLUS XP2 failed! Status: 0xc0000034 Registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} deleted successfully. Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|bonspells deleted successfully. Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe deleted successfully. Could not delete registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe Deletion of registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe failed! Status: 0xc0000034 Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe deleted successfully. Registry key HKLM\SOFTWARE\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QualityCodec not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QualityCodec failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4734044c-7427-43d8-adbe-df942e52bef2} deleted successfully. Completed script processing. ******************* Finished! Terminate. --------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 01:41:47 04.12.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adserver.71i[1].txt -> TrackingCookie.71i : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adbrite[1].txt -> TrackingCookie.Adbrite : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@axa.addcontrol[2].txt -> TrackingCookie.Addcontrol : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adtiger[1].txt -> TrackingCookie.Adtiger : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@bfast[1].txt -> TrackingCookie.Bfast : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@casalemedia[1].txt -> TrackingCookie.Casalemedia : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@clickbank[1].txt -> TrackingCookie.Clickbank : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@com[1].txt -> TrackingCookie.Com : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wakiahdzogo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wfkysjazefp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wfl4wldzwap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wfmykiazsao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wgmianczeco.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wjkywoajkep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wjliupd5cdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wjlochdzaho.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@estat[1].txt -> TrackingCookie.Estat : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@www.etracker[1].txt -> TrackingCookie.Etracker : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@www.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@findwhat[1].txt -> TrackingCookie.Findwhat : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ehg-nokiafin.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@i12[1].txt -> TrackingCookie.I12 : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@max.i12[2].txt -> TrackingCookie.I12 : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@sales.liveperson[1].txt -> TrackingCookie.Liveperson : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@image.masterstats[1].txt -> TrackingCookie.Masterstats : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@mediaplex[2].txt -> TrackingCookie.Mediaplex : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@revenue[1].txt -> TrackingCookie.Revenue : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@serving-sys[1].txt -> TrackingCookie.Serving-sys : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@statcounter[2].txt -> TrackingCookie.Statcounter : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@targad[1].txt -> TrackingCookie.Targad : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@webstat[1].txt -> TrackingCookie.Web-stat : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@count.xhit[2].txt -> TrackingCookie.Xhit : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@yadro[2].txt -> TrackingCookie.Yadro : Gesäubert. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert. ::Berichtende So ich hoffe ich habe alles richtig gemacht! Grüße Thomas |
|
|
||
04.12.2006, 11:19
Ehrenmitglied
Beiträge: 29434 |
#6
poste das neue log von Combofix
+ ueberpruefe mit Registry Search 2.0 die wuamkop32.exe,QualityCodec ..usw, ob wirklich alles rausgeloescht ist + poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2006, 15:18
...neu hier
Themenstarter Beiträge: 5 |
#7
Nochmals Danke hier die neuen logs:
Fabian - 06-12-04 14:48:41,63 Service Pack 1 ComboFix 06.11.27W - Running from: "C:\sUBs" ((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 )))))))))))))))))))))))))))))))))) 2006-12-04 01:12 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2006-12-04 01:12 <DIR> d-------- C:\Programme\Grisoft 2006-12-04 01:01 2,118 --a------ C:\WINDOWS\system32\tmp.reg 2006-12-04 00:49 <DIR> d-------- C:\avenger 2006-11-07 11:41 <DIR> d-------- C:\Programme\Apple Software Update 2006-11-07 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2006-11-07 11:37 <DIR> d-------- C:\Programme\QuickTime (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-04 01:50 -------- d-------- C:\Programme\RegistryFix 2006-11-22 20:14 -------- d-------- C:\Programme\Advanced System Optimizer 2006-10-31 14:10 -------- d-------- C:\Programme\Google (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "Windows Registry Repair Pro"="C:\\Programme\\3B Software\\Windows Registry Repair Pro\\RegistryRepairPro.exe 4" "Systweak Ad and Popup Blocker"="\"C:\\Programme\\Advanced System Optimizer\\adblock.exe\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\nView] "NVIEW"="rundll32.exe nview.dll,nViewLoadHook" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" "nwiz"="nwiz.exe /install" "H2O"="C:\\Programme\\SyncroSoft\\Pos\\H2O\\cledx.exe" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "BDMCon"="c:\\progra~1\\softwin\\bitdef~1\\bdmcon.exe" "BDNewsAgent"="\"C:\\progra~1\\softwin\\bitdef~1\\bdnagent.exe\"" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job Completion time: 06-12-04 14:49:49.58 C:\ComboFix.txt ... 06-12-04 14:49 REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 04.12.2006 14:52:18 for strings: ; 'wuamkop32.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 04.12.2006 14:53:41 for strings: ; 'msnnsg.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 04.12.2006 14:54:56 for strings: ; 'qualitycodec' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "h"="C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe" [HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\0XA7SLA7\\qualitycodec.301[1].exe"="qualitycodec.301[1]" "C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\23UV01YL\\qualitycodec.301[1].exe"="qualitycodec.301[1]" "C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe"="qualitycodec.301" "C:\\Programme\\QualityCodec\\pmsngr.exe"="pmsngr" ; End Of The Log... Logfile of HijackThis v1.99.1 Scan saved at 15:17:22, on 04.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\progra~1\softwin\bitdef~1\bdnagent.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender9\vsserv.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Advanced System Optimizer\adblock.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: IEPlugin Class - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Advanced System Optimizer\iehelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4 O4 - HKCU\..\Run: [Systweak Ad and Popup Blocker] "C:\Programme\Advanced System Optimizer\adblock.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30493122e65998442a23/netzip/RdxIE601_de.cab O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Hoffe alles stimmt so ! |
|
|
||
04.12.2006, 15:20
Ehrenmitglied
Beiträge: 29434 |
#8
1.
wende das an http://virus-protect.org/mruclear.html 2. lade die Windowsupdates - dein rechner ist nicht ausreichend geschuetzt 3. ueberpruefe, ob das geloescht ist: C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe ------------------------------------------------------------- dann sollte wieder alles i.o. sein . __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2006, 21:39
...neu hier
Themenstarter Beiträge: 5 |
#9
Ok Listen sind gelöscht und auch qualitycodec.301.exe wurde erfolgreich entfernt!
Gibt es außer den Updates noch andere Möglichkeiten meinen Rechner zu schützen??? Könntest du mir was empfehlen? Auf jedenfall schon mal 1000 Dank und ich hoffe jetzt ist wieder alles in Ordnung! Danke Thomas |
|
|
||
Ich habe vermutlich mehrere Viren und Spyware auf meinem PC denn er läuft allgemein nicht so wie er es mal tat, zudem werde ich von mehren popups geplagt. Ich hoffe auf eure Hilfe, denn ich komme nicht mehr weiter.
Hier die abgearbeiteten Logs:
1.Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 01:48:10, on 03.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\QualityCodec\pmsngr.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Advanced System Optimizer\adblock.exe
C:\Programme\QualityCodec\pmmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zeit.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4734044c-7427-43d8-adbe-df942e52bef2} - C:\Programme\QualityCodec\isaddon.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: IEPlugin Class - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Advanced System Optimizer\iehelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\QualityCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Update] wuamkop32.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop32.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnnsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [Systweak Ad and Popup Blocker] "C:\Programme\Advanced System Optimizer\adblock.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30493122e65998442a23/netzip/RdxIE601_de.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\System32\okkmtv.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
2. Combofix:
Fabian - 06-12-03 2:03:41,09 Service Pack 1
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Fabian\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 ))))))))))))))))))))))))))))))))))
No new files created in this timespan
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-11-22 20:14 -------- d-------- C:\Programme\Advanced System Optimizer
2006-10-31 14:10 -------- d-------- C:\Programme\Google
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Windows Registry Repair Pro"="C:\\Programme\\3B Software\\Windows Registry Repair Pro\\RegistryRepairPro.exe 4"
"Systweak Ad and Popup Blocker"="\"C:\\Programme\\Advanced System Optimizer\\adblock.exe\""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\nView]
"NVIEW"="rundll32.exe nview.dll,nViewLoadHook"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Microsoft Update"="wuamkop32.exe"
"MSNS PLUS XP2"="msnnsg.exe"
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"nwiz"="nwiz.exe /install"
"H2O"="C:\\Programme\\SyncroSoft\\Pos\\H2O\\cledx.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"BDMCon"="c:\\progra~1\\softwin\\bitdef~1\\bdmcon.exe"
"BDNewsAgent"="\"C:\\progra~1\\softwin\\bitdef~1\\bdnagent.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Update"="wuamkop32.exe"
"MSNS PLUS XP2"="msnnsg.exe"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\QualityCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\QualityCodec\\pmsngr.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"bonspells"="{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Completion time: 06-12-03 2:05:20.28
C:\ComboFix.txt ... 06-12-03 02:05
C:\ComboFix2.txt ... 06-12-03 02:02
3. Datfindbat:
- system32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252
Verzeichnis von C:\WINDOWS\system32
03.12.2006 02:06 81.984 bdod.bin
03.12.2006 01:23 15 getfile.dat
03.12.2006 01:17 2.206 wpa.dbl
29.10.2006 10:56 311.604 perfh009.dat
29.10.2006 10:56 39.992 perfc009.dat
29.10.2006 10:56 316.594 perfh007.dat
29.10.2006 10:56 48.156 perfc007.dat
29.10.2006 10:56 723.744 PerfStringBackup.INI
01.10.2006 12:41 40.960 RO155B.bac
01.10.2006 12:41 4.980.736 RO1563.bac
01.10.2006 12:41 24.576 RO156B.bac
01.10.2006 12:41 237.568 RO1568.bac
01.10.2006 12:41 229.376 RO1578.bac
01.10.2006 12:41 12.730.368 RO1560.bac
01.10.2006 12:41 8.192 RO157B.bac
01.10.2006 12:41 8.192 RO1573.bac
01.10.2006 12:41 229.376 RO1570.bac
01.10.2006 12:40 8.192 RO1583.bac
01.10.2006 12:40 2.621.440 RO1580.bac
01.10.2006 12:40 0 RO1583.tmp.LOG
01.10.2006 12:40 0 RO1580.tmp.LOG
01.10.2006 12:40 0 RO157B.tmp.LOG
01.10.2006 12:40 0 RO1578.tmp.LOG
01.10.2006 12:40 0 RO1573.tmp.LOG
01.10.2006 12:40 0 RO1570.tmp.LOG
01.10.2006 12:40 0 RO156B.tmp.LOG
01.10.2006 12:40 0 RO1568.tmp.LOG
01.10.2006 12:40 0 RO1563.tmp.LOG
01.10.2006 12:40 0 RO1560.tmp.LOG
- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252
Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp
(leer)
-
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252
Verzeichnis von C:\WINDOWS
03.12.2006 01:56 0 0.log
03.12.2006 01:56 2.048 bootstat.dat
03.12.2006 01:55 32.620 SchedLgU.Txt
03.12.2006 01:23 606 win.ini
27.11.2006 13:39 155 NeroDigital.ini
22.11.2006 23:40 50 wiaservc.log
22.11.2006 23:40 216 wiadebug.log
08.11.2006 22:22 180.570 setupact.log
07.11.2006 11:37 399.942 setupapi.log
08.09.2006 13:20 1.022.722 ntbtlog.txt
01.09.2006 13:45 147 cdplayer.ini
- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252
Verzeichnis von C:\WINDOWS\Temp
(leer)
- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252
Verzeichnis von C:\WINDOWS\Downloaded Program Files
(leer)
- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252
Verzeichnis von C:\
03.12.2006 02:13 0 sys.txt
03.12.2006 02:12 788 down.txt
03.12.2006 02:12 117 tmp.txt
03.12.2006 02:11 4.210 system.txt
03.12.2006 02:11 134 systemtemp.txt
03.12.2006 02:09 93.886 system32.txt
03.12.2006 02:05 5.551 ComboFix.txt
03.12.2006 02:02 5.822 ComboFix2.txt
03.12.2006 01:56 267.968.512 hiberfil.sys
03.12.2006 01:56 402.653.184 pagefile.sys
01.10.2006 12:40 4 WINDOWSRegDefrag.dat
Ich hoffe auf eine Antwort die mir weiterhilft,
Gruß Thomas