Home » Viren, Trojaner & Malware Forum » Vireninfekt! Bitte um Unterstützung » Themenansicht

Vireninfekt! Bitte um Unterstützung
#0
03.12.2006, 02:16
Honko
...neu hier

Beiträge: 5
#1 Hallo,
Ich habe vermutlich mehrere Viren und Spyware auf meinem PC denn er läuft allgemein nicht so wie er es mal tat, zudem werde ich von mehren popups geplagt. Ich hoffe auf eure Hilfe, denn ich komme nicht mehr weiter.


Hier die abgearbeiteten Logs:

1.Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 01:48:10, on 03.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\QualityCodec\pmsngr.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Advanced System Optimizer\adblock.exe
C:\Programme\QualityCodec\pmmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zeit.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4734044c-7427-43d8-adbe-df942e52bef2} - C:\Programme\QualityCodec\isaddon.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: IEPlugin Class - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Advanced System Optimizer\iehelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\QualityCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Update] wuamkop32.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop32.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnnsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [Systweak Ad and Popup Blocker] "C:\Programme\Advanced System Optimizer\adblock.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30493122e65998442a23/netzip/RdxIE601_de.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\System32\okkmtv.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

2. Combofix:

Fabian - 06-12-03 2:03:41,09 Service Pack 1
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Fabian\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-22 20:14 -------- d-------- C:\Programme\Advanced System Optimizer
2006-10-31 14:10 -------- d-------- C:\Programme\Google


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Windows Registry Repair Pro"="C:\\Programme\\3B Software\\Windows Registry Repair Pro\\RegistryRepairPro.exe 4"
"Systweak Ad and Popup Blocker"="\"C:\\Programme\\Advanced System Optimizer\\adblock.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\nView]
"NVIEW"="rundll32.exe nview.dll,nViewLoadHook"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Microsoft Update"="wuamkop32.exe"
"MSNS PLUS XP2"="msnnsg.exe"
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"nwiz"="nwiz.exe /install"
"H2O"="C:\\Programme\\SyncroSoft\\Pos\\H2O\\cledx.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"BDMCon"="c:\\progra~1\\softwin\\bitdef~1\\bdmcon.exe"
"BDNewsAgent"="\"C:\\progra~1\\softwin\\bitdef~1\\bdnagent.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Update"="wuamkop32.exe"
"MSNS PLUS XP2"="msnnsg.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\QualityCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\QualityCodec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"bonspells"="{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 06-12-03 2:05:20.28
C:\ComboFix.txt ... 06-12-03 02:05
C:\ComboFix2.txt ... 06-12-03 02:02


3. Datfindbat:

- system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252

Verzeichnis von C:\WINDOWS\system32

03.12.2006 02:06 81.984 bdod.bin
03.12.2006 01:23 15 getfile.dat
03.12.2006 01:17 2.206 wpa.dbl
29.10.2006 10:56 311.604 perfh009.dat
29.10.2006 10:56 39.992 perfc009.dat
29.10.2006 10:56 316.594 perfh007.dat
29.10.2006 10:56 48.156 perfc007.dat
29.10.2006 10:56 723.744 PerfStringBackup.INI
01.10.2006 12:41 40.960 RO155B.bac
01.10.2006 12:41 4.980.736 RO1563.bac
01.10.2006 12:41 24.576 RO156B.bac
01.10.2006 12:41 237.568 RO1568.bac
01.10.2006 12:41 229.376 RO1578.bac
01.10.2006 12:41 12.730.368 RO1560.bac
01.10.2006 12:41 8.192 RO157B.bac
01.10.2006 12:41 8.192 RO1573.bac
01.10.2006 12:41 229.376 RO1570.bac
01.10.2006 12:40 8.192 RO1583.bac
01.10.2006 12:40 2.621.440 RO1580.bac
01.10.2006 12:40 0 RO1583.tmp.LOG
01.10.2006 12:40 0 RO1580.tmp.LOG
01.10.2006 12:40 0 RO157B.tmp.LOG
01.10.2006 12:40 0 RO1578.tmp.LOG
01.10.2006 12:40 0 RO1573.tmp.LOG
01.10.2006 12:40 0 RO1570.tmp.LOG
01.10.2006 12:40 0 RO156B.tmp.LOG
01.10.2006 12:40 0 RO1568.tmp.LOG
01.10.2006 12:40 0 RO1563.tmp.LOG
01.10.2006 12:40 0 RO1560.tmp.LOG

- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252

Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp


(leer)

-

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252

Verzeichnis von C:\WINDOWS

03.12.2006 01:56 0 0.log
03.12.2006 01:56 2.048 bootstat.dat
03.12.2006 01:55 32.620 SchedLgU.Txt
03.12.2006 01:23 606 win.ini
27.11.2006 13:39 155 NeroDigital.ini
22.11.2006 23:40 50 wiaservc.log
22.11.2006 23:40 216 wiadebug.log
08.11.2006 22:22 180.570 setupact.log
07.11.2006 11:37 399.942 setupapi.log
08.09.2006 13:20 1.022.722 ntbtlog.txt
01.09.2006 13:45 147 cdplayer.ini


- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252

Verzeichnis von C:\WINDOWS\Temp


(leer)

- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252

Verzeichnis von C:\WINDOWS\Downloaded Program Files

(leer)

- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252

Verzeichnis von C:\

03.12.2006 02:13 0 sys.txt
03.12.2006 02:12 788 down.txt
03.12.2006 02:12 117 tmp.txt
03.12.2006 02:11 4.210 system.txt
03.12.2006 02:11 134 systemtemp.txt
03.12.2006 02:09 93.886 system32.txt
03.12.2006 02:05 5.551 ComboFix.txt
03.12.2006 02:02 5.822 ComboFix2.txt
03.12.2006 01:56 267.968.512 hiberfil.sys
03.12.2006 01:56 402.653.184 pagefile.sys
01.10.2006 12:40 4 WINDOWSRegDefrag.dat


Ich hoffe auf eine Antwort die mir weiterhilft,
Gruß Thomas
Seitenanfang Seitenende
03.12.2006, 15:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

wuamkop32.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

msnnsg.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

QualityCodec

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

________________________

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________________________

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\msnnsg*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\wuamkop32*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2006, 22:14
Honko
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo!!! Vielen Dank erst mal!

Hier die gewünschten logs:


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 03.12.2006 21:56:54 for strings:
; 'wuamkop32.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update"="wuamkop32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Update"="wuamkop32.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Microsoft Update"="wuamkop32.exe"

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\OLE]
"Microsoft Update"="wuamkop32.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Microsoft Update"="wuamkop32.exe"

; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 03.12.2006 22:00:45 for strings:
; 'msnnsg.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSNS PLUS XP2"="msnnsg.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"MSNS PLUS XP2"="msnnsg.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"MSNS PLUS XP2"="msnnsg.exe"

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\OLE]
"MSNS PLUS XP2"="msnnsg.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"MSNS PLUS XP2"="msnnsg.exe"

; End Of The Log...




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 03.12.2006 22:04:27 for strings:
; 'qualitycodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}\InprocServer32]
@="C:\\Programme\\QualityCodec\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4734044c-7427-43d8-adbe-df942e52bef2}\InprocServer32]
@="C:\\Programme\\QualityCodec\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\QualityCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\QualityCodec\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006]
"UninstallString"="\"C:\\Programme\\QualityCodec\\iesuninst.exe\""

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Internet Security]
"Path"="C:\\Programme\\QualityCodec"

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"h"="C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe"

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\0XA7SLA7\\qualitycodec.301[1].exe"="qualitycodec.301[1]"
"C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\23UV01YL\\qualitycodec.301[1].exe"="qualitycodec.301[1]"
"C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe"="qualitycodec.301"
"C:\\Programme\\QualityCodec\\pmsngr.exe"="pmsngr"

; End Of The Log...





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252

Verzeichnis von c:\WINDOWS\system32

17.08.2006 20:29 3.531 msnnsg.exe-up.txt
1 Datei(en) 3.531 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 3.531 Bytes
0 Verzeichnis(se), 11.269.718.016 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC96-3252




Ich hoffe du kannst was damit anfangen.
Danke im Voraus.
Gruß Thomas
Seitenanfang Seitenende
03.12.2006, 22:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Honko

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Update"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Microsoft Update"=-

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\OLE]
"Microsoft Update"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Microsoft Update"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSNS PLUS XP2"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"MSNS PLUS XP2"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"MSNS PLUS XP2"=-

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\OLE]
"MSNS PLUS XP2"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"MSNS PLUS XP2"=-
____________________________________________________________


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft Update
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MSNS PLUS XP2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|bonspells
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QualityCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4734044c-7427-43d8-adbe-df942e52bef2}

Files to delete:
C:\WINDOWS\system32\okkmtv.dll
C:\WINDOWS\system32\msnnsg.exe-up.txt
C:\WINDOWS\system32\msnnsg.exe
C:\Dokumente und Einstellungen\%User%\Eigene Dateien\qualitycodec.301.exe

Folders to delete:
C:\Programme\QualityCodec
C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XA7SLA7
C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23UV01YL

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

_________________________________

»»
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2006, 01:48
Honko
...neu hier

Themenstarter

Beiträge: 5
#5 Vielen Dank nochmals!
Hier die neuen logs:
Ich hoffe es sind die richtigen!


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pxwkbtvt

*******************

Script file located at: \??\C:\WINDOWS\System32\rjy^ndtn.txt
Script file opened successfully.

Script file read successfully






SmitFraudFix v2.127

Scan done at 1:06:35,21, 04.12.2006
Run from C:\Dokumente und Einstellungen\Fabian\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\okkmtv.dll not found!
Deletion of file C:\WINDOWS\system32\okkmtv.dll failed!

Could not process line:
C:\WINDOWS\system32\okkmtv.dll
Status: 0xc0000034

File C:\WINDOWS\system32\msnnsg.exe-up.txt deleted successfully.


File C:\WINDOWS\system32\msnnsg.exe not found!
Deletion of file C:\WINDOWS\system32\msnnsg.exe failed!

Could not process line:
C:\WINDOWS\system32\msnnsg.exe
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\%User%\Eigene Dateien\qualitycodec.301.exe for deletion
Deletion of file C:\Dokumente und Einstellungen\%User%\Eigene Dateien\qualitycodec.301.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\%User%\Eigene Dateien\qualitycodec.301.exe
Status: 0xc000003a

Folder C:\Programme\QualityCodec deleted successfully.


Could not open folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XA7SLA7 for deletion
Deletion of folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XA7SLA7 failed!

Could not process line:
C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XA7SLA7
Status: 0xc000003a



Could not open folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23UV01YL for deletion
Deletion of folder C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23UV01YL failed!

Could not process line:
C:\Dokumente und Einstellungen\%User%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23UV01YL
Status: 0xc000003a



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft Update
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft Update failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MSNS PLUS XP2
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MSNS PLUS XP2 failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|bonspells deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe deleted successfully.


Could not delete registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe
Deletion of registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QualityCodec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QualityCodec failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4734044c-7427-43d8-adbe-df942e52bef2} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.






---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:41:47 04.12.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adserver.71i[1].txt -> TrackingCookie.71i : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adbrite[1].txt -> TrackingCookie.Adbrite : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@axa.addcontrol[2].txt -> TrackingCookie.Addcontrol : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adtiger[1].txt -> TrackingCookie.Adtiger : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@bfast[1].txt -> TrackingCookie.Bfast : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@casalemedia[1].txt -> TrackingCookie.Casalemedia : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@clickbank[1].txt -> TrackingCookie.Clickbank : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@com[1].txt -> TrackingCookie.Com : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wakiahdzogo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wfkysjazefp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wfl4wldzwap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wfmykiazsao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wgmianczeco.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wjkywoajkep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wjliupd5cdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@e-2dj6wjlochdzaho.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@estat[1].txt -> TrackingCookie.Estat : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@www.etracker[1].txt -> TrackingCookie.Etracker : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@www.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@findwhat[1].txt -> TrackingCookie.Findwhat : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ehg-nokiafin.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@i12[1].txt -> TrackingCookie.I12 : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@max.i12[2].txt -> TrackingCookie.I12 : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@sales.liveperson[1].txt -> TrackingCookie.Liveperson : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@image.masterstats[1].txt -> TrackingCookie.Masterstats : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@mediaplex[2].txt -> TrackingCookie.Mediaplex : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@revenue[1].txt -> TrackingCookie.Revenue : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@serving-sys[1].txt -> TrackingCookie.Serving-sys : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@statcounter[2].txt -> TrackingCookie.Statcounter : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@targad[1].txt -> TrackingCookie.Targad : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@webstat[1].txt -> TrackingCookie.Web-stat : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@count.xhit[2].txt -> TrackingCookie.Xhit : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@yadro[2].txt -> TrackingCookie.Yadro : Gesäubert.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert.


::Berichtende




So ich hoffe ich habe alles richtig gemacht!
Grüße
Thomas
Seitenanfang Seitenende
04.12.2006, 11:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 poste das neue log von Combofix
+
ueberpruefe mit Registry Search 2.0 die wuamkop32.exe,QualityCodec ..usw, ob wirklich alles rausgeloescht ist
+
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2006, 15:18
Honko
...neu hier

Themenstarter

Beiträge: 5
#7 Nochmals Danke hier die neuen logs:



Fabian - 06-12-04 14:48:41,63 Service Pack 1
ComboFix 06.11.27W - Running from: "C:\sUBs"

((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 ))))))))))))))))))))))))))))))))))


2006-12-04 01:12 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-04 01:12 <DIR> d-------- C:\Programme\Grisoft
2006-12-04 01:01 2,118 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-04 00:49 <DIR> d-------- C:\avenger
2006-11-07 11:41 <DIR> d-------- C:\Programme\Apple Software Update
2006-11-07 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2006-11-07 11:37 <DIR> d-------- C:\Programme\QuickTime


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-04 01:50 -------- d-------- C:\Programme\RegistryFix
2006-11-22 20:14 -------- d-------- C:\Programme\Advanced System Optimizer
2006-10-31 14:10 -------- d-------- C:\Programme\Google


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Windows Registry Repair Pro"="C:\\Programme\\3B Software\\Windows Registry Repair Pro\\RegistryRepairPro.exe 4"
"Systweak Ad and Popup Blocker"="\"C:\\Programme\\Advanced System Optimizer\\adblock.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\nView]
"NVIEW"="rundll32.exe nview.dll,nViewLoadHook"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"nwiz"="nwiz.exe /install"
"H2O"="C:\\Programme\\SyncroSoft\\Pos\\H2O\\cledx.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"BDMCon"="c:\\progra~1\\softwin\\bitdef~1\\bdmcon.exe"
"BDNewsAgent"="\"C:\\progra~1\\softwin\\bitdef~1\\bdnagent.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 06-12-04 14:49:49.58
C:\ComboFix.txt ... 06-12-04 14:49







REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 04.12.2006 14:52:18 for strings:
; 'wuamkop32.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...






REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 04.12.2006 14:53:41 for strings:
; 'msnnsg.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...





REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 04.12.2006 14:54:56 for strings:
; 'qualitycodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"h"="C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe"

[HKEY_USERS\S-1-5-21-329068152-813497703-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\0XA7SLA7\\qualitycodec.301[1].exe"="qualitycodec.301[1]"
"C:\\Dokumente und Einstellungen\\Fabian\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\23UV01YL\\qualitycodec.301[1].exe"="qualitycodec.301[1]"
"C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe"="qualitycodec.301"
"C:\\Programme\\QualityCodec\\pmsngr.exe"="pmsngr"

; End Of The Log...










Logfile of HijackThis v1.99.1
Scan saved at 15:17:22, on 04.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Advanced System Optimizer\adblock.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: IEPlugin Class - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Advanced System Optimizer\iehelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [Systweak Ad and Popup Blocker] "C:\Programme\Advanced System Optimizer\adblock.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30493122e65998442a23/netzip/RdxIE601_de.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Hoffe alles stimmt so !
Seitenanfang Seitenende
04.12.2006, 15:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
wende das an
http://virus-protect.org/mruclear.html

2.
lade die Windowsupdates - dein rechner ist nicht ausreichend geschuetzt ;)

3.
ueberpruefe, ob das geloescht ist:
C:\\Dokumente und Einstellungen\\Fabian\\Eigene Dateien\\qualitycodec.301.exe

-------------------------------------------------------------

dann sollte wieder alles i.o. sein . ;)


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2006, 21:39
Honko
...neu hier

Themenstarter

Beiträge: 5
#9 Ok Listen sind gelöscht und auch qualitycodec.301.exe wurde erfolgreich entfernt!
Gibt es außer den Updates noch andere Möglichkeiten meinen Rechner zu schützen??? Könntest du mir was empfehlen?
Auf jedenfall schon mal 1000 Dank und ich hoffe jetzt ist wieder alles in Ordnung!
Danke

Thomas
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1