Tr/pck.klone.v.6 entfernen?

#1 Hallo,

ich bekomme immer von antivir die Meldung TR/PCK.KLONE.V.6, manchmal auch eine Andere an die ich mich gerade leider nicht mehr erinnere.
Ich hoffe ihr könnt mir helfen diesen Trojaner/Virus von meinem PC wieder runter zu bekommen. Ich würde nur ungern mein System neu installieren müssen.

Bei CleanUp! konnte ich in den Options "Delete Prefetch files" nicht aktivieren. Das Feld ist grau ausgespart.

Hier die Logs nach eurer Anleitung:

Logfile of HijackThis v1.99.1
Scan saved at 13:39:23, on 11.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ccxgui\ccXservice.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\ccxgui\ccxstream.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Serence KlipFolio\KlipFolio.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\RAMASST.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Eigene Dateien\HijackThis\HijackThis.exe

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Bandwidth Monitor Pro] "C:\Programme\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe"
O4 - HKCU\..\Run: [KlipFolio] "C:\Programme\Serence KlipFolio\KlipFolio.exe" /BOOT
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule v0.47c_stop\emule.exe -AutoStart
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Eigene Dateien.lnk = ?
O4 - Startup: Girder3.lnk = C:\Programme\girder32\Girder.exe
O4 - Startup: Verknüpfung mit miranda32.exe.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Verknüpfung mit thunderbird.exe.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4283366A-8504-41AE-AD09-8A3BCD81E310}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Skype\Plugin Manager\Skype4COM.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ccXgui - [XC]D-Ice - C:\Programme\ccxgui\ccXservice.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



tim - 06-12-11 13:55:54,28 Service Pack 2
ComboFix 06.11.27W - Running from: "E:\Eigene Dateien"

((((((((((((((((((((((((((((((( Files Created from 2006-11-11 to 2006-12-11 ))))))))))))))))))))))))))))))))))


2006-12-11 13:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\tim\Recent
2006-12-11 13:18 <DIR> d-------- C:\Programme\CleanUp!
2006-12-11 12:52 40,973 ---hs---- C:\WINDOWS\system32\iiffgec.dll
2006-12-09 22:35 596,657 ---hs---- C:\WINDOWS\system32\jjkkj.bak2
2006-12-08 22:34 594,294 ---hs---- C:\WINDOWS\system32\jjkkj.bak1
2006-12-08 22:34 276,532 ---hs---- C:\WINDOWS\system32\jkkjj.dll
2006-12-08 22:29 40,973 ---hs---- C:\WINDOWS\system32\ljjjjih.dll
2006-12-08 22:29 19,456 --------- C:\WINDOWS\system32\winjrs32.dll
2006-11-26 14:44 <DIR> d--hs---- C:\Dokumente und Einstellungen\tim\Phone Browser
2006-11-26 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Nokia
2006-11-26 14:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2006-11-26 14:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2006-11-26 14:27 12,800 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys
2006-11-26 14:27 <DIR> d-------- C:\Programme\PC Connectivity Solution
2006-11-26 14:26 9,216 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys
2006-11-26 14:26 4,608 --a------ C:\WINDOWS\system32\nmwcdlog.dll
2006-11-26 14:26 30,720 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2006-11-26 14:26 138,240 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys
2006-11-26 14:26 12,800 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys
2006-11-26 14:21 <DIR> d-------- C:\Programme\DIFX
2006-11-26 14:20 50,688 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2006-11-26 14:20 <DIR> d-------- C:\Programme\Nokia
2006-11-26 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\tim\Anwendungsdaten\PC Suite
2006-11-26 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2006-11-26 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2006-11-24 13:15 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-23 20:29 <DIR> d-------- C:\Programme\eMule v0.47c_stop
2006-11-14 02:18 633,344 -ra------ C:\WINDOWS\system32\drivers\cfosspeed.sys
2006-11-13 19:58 270,336 --a------ C:\WINDOWS\system32\cfosspeed.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-11 13:54 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-12-11 13:54 -------- d-------- C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Skype
2006-12-11 13:54 -------- d-------- C:\Dokumente und Einstellungen\tim\Anwendungsdaten\KlipFolio
2006-12-11 13:53 -------- d-------- C:\Programme\Bandwidth Monitor Pro
2006-12-11 13:52 -------- d-------- C:\Programme\cFosSpeed
2006-12-11 13:32 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-08 13:59 -------- d-------- C:\Programme\Skype
2006-12-05 01:15 -------- d-------- C:\Programme\MediaCoder
2006-12-04 01:01 -------- d-------- C:\Programme\MSN Messenger
2006-11-28 07:49 -------- d-------- C:\Programme\Mirc6.17
2006-11-27 17:11 -------- d-------- C:\Programme\BPFTP Server
2006-11-26 14:28 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-25 00:57 13 -r-hs---- C:\WINDOWS\system32\Mediav_6_4.dll
2006-11-24 13:17 -------- d-------- C:\Programme\Winamp
2006-11-23 22:13 -------- d-------- C:\Programme\FlashGet
2006-11-23 09:17 -------- d-------- C:\Programme\eMule v0.47a_stop
2006-11-22 21:52 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-22 15:47 -------- d-------- C:\Programme\BitComet
2006-11-20 15:00 -------- d-------- C:\Programme\Java
2006-11-12 23:36 -------- d-------- C:\Programme\FlashFXP
2006-11-08 20:20 -------- d-------- C:\Programme\Miranda IM
2006-11-04 18:12 -------- d---s---- C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Microsoft
2006-11-04 18:12 -------- d-------- C:\Programme\Opera
2006-11-04 18:12 -------- d-------- C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Opera
2006-10-28 15:35 -------- d-------- C:\Dokumente und Einstellungen\tim\Anwendungsdaten\dvdcss
2006-10-26 21:36 -------- d-------- C:\Programme\WTK25
2006-10-26 21:33 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-26 21:29 -------- d-------- C:\Programme\NumericLabs
2006-10-26 21:16 -------- d-------- C:\Programme\WTK22
2006-10-26 20:49 -------- d-------- C:\Programme\Kwyshell
2006-10-24 22:53 -------- d-------- C:\Programme\Quick Screenshot Maker
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-10-02 20:04 790528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-10-02 20:04 635486 --a------ C:\WINDOWS\system32\DivX.dll
2006-10-02 09:21 2560 --a------ C:\WINDOWS\system32\BitCometRes.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"
"Bandwidth Monitor Pro"="\"C:\\Programme\\Bandwidth Monitor Pro\\Bandwidth Monitor Pro.exe\""
"KlipFolio"="\"C:\\Programme\\Serence KlipFolio\\KlipFolio.exe\" /BOOT"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"BitComet"="\"C:\\Programme\\BitComet\\BitComet.exe\""
"eMuleAutoStart"="C:\\Programme\\eMule v0.47c_stop\\emule.exe -AutoStart"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"StorageGuard"="\"C:\\Programme\\VERITAS Software\\Update Manager\\sgtray.exe\" /r"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"ClubBox"=""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"snpstd3"="C:\\WINDOWS\\vsnpstd3.exe"
"cFosSpeed"="C:\\Programme\\cFosSpeed\\cFosSpeed.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"PCSuiteTrayApplication"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -startup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a8,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"VGA6 Startup"="vgacard6.exe"
"PcSync"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"VGA6 Startup"="vgacard6.exe"
"PcSync"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{93994DE8-8239-4655-B1D1-5F4E91300429}"=""
"{C671A733-A4AA-4B5F-8CEE-006242C457B5}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iiffgec
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjrs32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-11 13:57:07.18
C:\ComboFix.txt ... 06-12-11 13:57
C:\ComboFix2.txt ... 06-12-11 13:14


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\system32

11.12.2006 14:00 614.535 jjkkj.ini
11.12.2006 12:52 40.973 iiffgec.dll
11.12.2006 12:47 2.206 wpa.dbl
10.12.2006 22:35 596.657 jjkkj.bak2
09.12.2006 16:01 143 mcrh.tmp
08.12.2006 22:34 594.294 jjkkj.bak1
08.12.2006 22:34 276.532 jkkjj.dll
08.12.2006 22:29 40.973 ljjjjih.dll
08.12.2006 22:29 19.456 winjrs32.dll
25.11.2006 00:57 13 Mediav_6_4.dll
20.11.2006 15:00 8.833 jupdate-1.5.0_09-b03.log
19.11.2006 12:00 191.384 FNTCACHE.DAT
11.11.2006 01:16 288.672 logfile.log
08.11.2006 16:50 270.336 cfosspeed.dll
29.10.2006 11:59 380.350 perfh009.dat
29.10.2006 11:59 63.580 perfc007.dat
29.10.2006 11:59 391.000 perfh007.dat
29.10.2006 11:59 52.764 perfc009.dat
29.10.2006 11:59 897.954 PerfStringBackup.INI
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
10.10.2006 08:54 50.688 nmwcdcls.dll
10.10.2006 08:54 30.720 nmwcdcocls.dll
10.10.2006 08:54 4.608 nmwcdlog.dll
02.10.2006 20:04 806.912 divx_xx07.dll
02.10.2006 20:04 806.912 divx_xx0c.dll
02.10.2006 20:04 790.528 divx_xx11.dll
02.10.2006 20:04 635.486 DivX.dll
02.10.2006 09:21 2.560 BitCometRes.dll
16.09.2006 16:56 2.932 d3d9caps.dat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS

11.12.2006 13:54 173.023 setupact.log
11.12.2006 13:52 51 iTouch.ini
11.12.2006 13:52 159 wiadebug.log
11.12.2006 13:52 50 wiaservc.log
11.12.2006 13:51 0 0.log
11.12.2006 13:51 2.048 bootstat.dat
11.12.2006 13:50 59.985 WindowsUpdate.log
08.12.2006 21:06 202 NeroDigital.ini
05.12.2006 00:55 495 plugin.ini
04.12.2006 18:32 604.411 setupapi.log
01.12.2006 12:51 178.692 cFosSpeed_Setup_Log.txt
26.11.2006 14:29 20.010 DPINST.LOG
15.10.2006 11:57 19.243 wmsetup.log
08.10.2006 01:39 16.638 mozver.dat
08.10.2006 01:39 922 win.ini
08.10.2006 00:00 1.492 psmplay.ini
04.10.2006 21:01 11.025 KB912919.log
11.09.2006 17:10 16.417 cdplayer.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\DOKUME~1\tim\LOKALE~1\Temp

11.12.2006 13:57 171 jusched.log
11.12.2006 13:53 16.384 ~DFABE7.tmp
2 Datei(en) 16.555 Bytes
0 Verzeichnis(se), 5.699.354.624 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.07.2006 14:05 1.652.512 Rawflow.ocx


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\

11.12.2006 14:02 0 sys.txt
11.12.2006 14:01 884 down.txt
11.12.2006 14:01 117 tmp.txt
11.12.2006 14:01 7.321 system.txt
11.12.2006 14:01 339 systemtemp.txt
11.12.2006 14:00 116.105 system32.txt
11.12.2006 13:51 805.306.368 pagefile.sys


So, ich hoffe mir kann geholfen werden.
Danke schon mal für die Mühe.

#2 chinko

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\Mediav_6_4.dll
C:\WINDOWS\system32\vgacard6.exe


poste hier die reporte

--------------------------------------------------------------------------
1.
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html


C:\Programme\Kwyshell - ich bin mir nicht im klaren, was das ist, ich habe es erst mal mit ins avengerscript gepackt..........

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iiffgec
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjrs32

Files to delete:
C:\WINDOWS\system32\jjkkj.ini
C:\WINDOWS\system32\iiffgec.dll
C:\WINDOWS\system32\jjkkj.bak2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\jjkkj.bak1
C:\WINDOWS\system32\jkkjj.dll
C:\WINDOWS\system32\ljjjjih.dll
C:\WINDOWS\system32\winjrs32.dll

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

»»
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
+
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#3 wärend dem scan mit vundofix hat antivir sich wieder gemeldet:
C:\WINDOWS\system32\winjrs32.dll
ist das Trojanische Pferd TR/PCK.Klone.V.6

virustotal

Complete scanning result of "Mediav_6_4.dll", received in VirusTotal at 12.11.2006, 15:35:28 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.11.2006 no virus found
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.11.2006 no virus found
AVG 386 12.09.2006 no virus found
BitDefender 7.2 12.11.2006 no virus found
CAT-QuickHeal 8.00 12.11.2006 no virus found
ClamAV devel-20060426 12.11.2006 no virus found
DrWeb 4.33 12.11.2006 no virus found
eSafe 7.0.14.0 12.11.2006 no virus found
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3244 12.11.2006 no virus found
Ewido 4.0 12.10.2006 no virus found
Fortinet 2.82.0.0 12.11.2006 no virus found
F-Prot 3.16f 12.08.2006 no virus found
F-Prot4 4.2.1.29 12.08.2006 no virus found
Ikarus T3.1.0.26 12.11.2006 no virus found
Kaspersky 4.0.2.24 12.11.2006 no virus found
McAfee 4915 12.10.2006 no virus found
Microsoft 1.1804 12.11.2006 no virus found
NOD32v2 1914 12.11.2006 no virus found
Norman 5.80.02 12.11.2006 no virus found
Panda 9.0.0.4 12.11.2006 no virus found
Prevx1 V2 12.11.2006 no virus found
Sophos 4.12.0 12.10.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.131 12.10.2006 no virus found
UNA 1.83 12.08.2006 no virus found
VBA32 3.11.1 12.10.2006 no virus found
VirusBuster 4.3.15:9 12.10.2006 no virus found

Aditional Information
File size: 13 bytes
MD5: afbb1b9c47462a7e053ed62cffa9c264
SHA1: 02c6585c809094f1e48109a7dd9580eb6c098118


den Rest poste ich gleich
Danke für die schnelle Antwort

#4 o.k. poste noch den anderen Report ...damit ich weiss, ob es noch ins avengerscript muss oder nicht
__________
MfG Sabina

rund um die PC-Sicherheit

#5 antivir hat sich wieder gemeldet:
C:\DOKUME~\tim\LOKALE~1\Temp\qdrvtabr.exe
ist das Trojanische Pferd TR/Agent.ACL.1

C:\DOKUME~\tim\LOKALE~1\Temp\yackutfb.dll
ist das Trojanische Pferd TR/Juan.A

C:\DOKUME~\tim\LOKALE~1\Temp\jnmplgco.dll
ist das Trojanische Pferd TR/Spy.VBStat.H

Kwyshell ist ein J2ME Emulator
http://home.kimo.com.tw/kwyshell/

Manchmal öffnet sich einfach der ie. ich denke das liegt wohl auch am Trojaner. Benutze normal nur firefox.


VundoFix V6.2.13

Checking Java version...

Sun Java not detected
Scan started at 15:43:21 11.12.2006

Listing files found while scanning....

C:\WINDOWS\system32\jkkjj.dll
C:\WINDOWS\system32\jjkkj.ini
C:\WINDOWS\system32\jjkkj.bak1
C:\WINDOWS\system32\jjkkj.bak2

Beginning removal...

Attempting to delete C:\WINDOWS\system32\jkkjj.dll
C:\WINDOWS\system32\jkkjj.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\jjkkj.ini
C:\WINDOWS\system32\jjkkj.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jjkkj.bak1
C:\WINDOWS\system32\jjkkj.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\jjkkj.bak2
C:\WINDOWS\system32\jjkkj.bak2 Has been deleted!

Performing Repairs to the registry.
Done!

Complete scanning result of "vgacard6.exe", received in VirusTotal at 12.11.2006, 16:14:35 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.11.2006 no virus found
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.11.2006 no virus found
AVG 386 12.09.2006 no virus found
BitDefender 7.2 12.11.2006 no virus found
CAT-QuickHeal 8.00 12.11.2006 no virus found
ClamAV devel-20060426 12.11.2006 no virus found
DrWeb 4.33 12.11.2006 no virus found
eSafe 7.0.14.0 12.11.2006 no virus found
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3244 12.11.2006 no virus found
Ewido 4.0 12.10.2006 no virus found
Fortinet 2.82.0.0 12.11.2006 no virus found
F-Prot 3.16f 12.08.2006 no virus found
F-Prot4 4.2.1.29 12.08.2006 no virus found
Ikarus T3.1.0.26 12.11.2006 no virus found
Kaspersky 4.0.2.24 12.11.2006 no virus found
McAfee 4915 12.10.2006 no virus found
Microsoft 1.1804 12.11.2006 no virus found
NOD32v2 1914 12.11.2006 no virus found
Norman 5.80.02 12.11.2006 no virus found
Panda 9.0.0.4 12.11.2006 no virus found
Prevx1 V2 12.11.2006 no virus found
Sophos 4.12.0 12.10.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.131 12.10.2006 no virus found
UNA 1.83 12.08.2006 no virus found
VBA32 3.11.1 12.10.2006 no virus found
VirusBuster 4.3.15:9 12.11.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Avenger hab ich noch nicht durchgeführt. will erst mal abwarten was du dazu zu sagen hast.

#6 wende also das avengerscript an
dann poste den report nach neustart

dann scanne mit superantispyware
http://virus-protect.org/artikel/tools/superantispyware.html

wende noch mal Cleanup an
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 nach avenger neuboot:
antivir meldet
C:\avenger\winjrs32.dll
ist das Trojanische Pferd TR/PCK.Klone.V.6

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nniqvici

*******************

Script file located at: \??\C:\Program Files\tersyxks.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\jjkkj.ini not found!
Deletion of file C:\WINDOWS\system32\jjkkj.ini failed!

Could not process line:
C:\WINDOWS\system32\jjkkj.ini
Status: 0xc0000034

File C:\WINDOWS\system32\iiffgec.dll deleted successfully.


File C:\WINDOWS\system32\jjkkj.bak2 not found!
Deletion of file C:\WINDOWS\system32\jjkkj.bak2 failed!

Could not process line:
C:\WINDOWS\system32\jjkkj.bak2
Status: 0xc0000034

File C:\WINDOWS\system32\mcrh.tmp deleted successfully.


File C:\WINDOWS\system32\jjkkj.bak1 not found!
Deletion of file C:\WINDOWS\system32\jjkkj.bak1 failed!

Could not process line:
C:\WINDOWS\system32\jjkkj.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\jkkjj.dll not found!
Deletion of file C:\WINDOWS\system32\jkkjj.dll failed!

Could not process line:
C:\WINDOWS\system32\jkkjj.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ljjjjih.dll deleted successfully.
File C:\WINDOWS\system32\winjrs32.dll deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iiffgec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iiffgec failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkjj not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkjj failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjrs32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

mache nun scan mit superantispyware

#8 poste dann dieses log - ich schaue es mir heute nacht an, denn ich muss bald weg...
__________
MfG Sabina

rund um die PC-Sicherheit

#9 so nun alles gescannt.
nach SUPERAntiSpyware Scan hab ich die Quarantäne gelöscht wie auf der Seite beschrieben. hoffe das war richtig.
Und bei CleanUp! kann ich wie gesagt "Delete Prefetch files" nicht aktivieren. hab es also ohne laufen lassen.

hier mal noch die fehlenden logs:


SUPERAntiSpyware Scan Log
Generated 12/11/2006 at 05:08 PM

Application Version : 3.3.1020

Core Rules Database Version : 3144
Trace Rules Database Version: 1160

Scan type : Complete Scan
Total Scan Time : 00:14:24

Memory items scanned : 489
Memory Thread detected : 1
Registry items scanned : 5774
Registry Thread detected : 13
File items scanned : 2034
File Thread detected : 1

Trojan.WinFixer
C:\WINDOWS\SYSTEM32\DDCCY.DLL
C:\WINDOWS\SYSTEM32\DDCCY.DLL
HKLM\Software\Classes\CLSID\{450B5876-9C9A-48DD-83CA-A929E190D602}
HKCR\CLSID\{450B5876-9C9A-48DD-83CA-A929E190D602}
HKCR\CLSID\{450B5876-9C9A-48DD-83CA-A929E190D602}\InprocServer32
HKCR\CLSID\{450B5876-9C9A-48DD-83CA-A929E190D602}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{450B5876-9C9A-48DD-83CA-A929E190D602}
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\ddccy

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#BPTV
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#PSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#BSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#SSTV



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\system32

11.12.2006 17:36 608.612 yccdd.ini
11.12.2006 17:36 0 yccdd.tmp
11.12.2006 17:03 0 CMMGR32.EXE
11.12.2006 16:05 594.678 yccdd.bak1
11.12.2006 15:59 593.920 jjkkj.tmp
11.12.2006 15:58 24.576 VundoFixSVC.exe
11.12.2006 12:47 2.206 wpa.dbl
25.11.2006 00:57 13 Mediav_6_4.dll
20.11.2006 15:00 8.833 jupdate-1.5.0_09-b03.log
19.11.2006 12:00 191.384 FNTCACHE.DAT
11.11.2006 01:16 288.672 logfile.log
08.11.2006 16:50 270.336 cfosspeed.dll
29.10.2006 11:59 380.350 perfh009.dat
29.10.2006 11:59 52.764 perfc009.dat
29.10.2006 11:59 391.000 perfh007.dat
29.10.2006 11:59 63.580 perfc007.dat
29.10.2006 11:59 897.954 PerfStringBackup.INI
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
10.10.2006 08:54 50.688 nmwcdcls.dll
10.10.2006 08:54 4.608 nmwcdlog.dll
10.10.2006 08:54 30.720 nmwcdcocls.dll
02.10.2006 20:04 806.912 divx_xx07.dll
02.10.2006 20:04 806.912 divx_xx0c.dll
02.10.2006 20:04 790.528 divx_xx11.dll
02.10.2006 20:04 635.486 DivX.dll
02.10.2006 09:21 2.560 BitCometRes.dll
16.09.2006 16:56 2.932 d3d9caps.dat



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\DOKUME~1\tim\LOKALE~1\Temp

11.12.2006 17:48 16.384 ~DF65A8.tmp
11.12.2006 17:47 32.768 ~DFF51C.tmp
11.12.2006 17:47 32.768 ~DFF516.tmp
3 Datei(en) 81.920 Bytes
0 Verzeichnis(se), 5.753.024.512 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS

11.12.2006 17:47 51 iTouch.ini
11.12.2006 17:47 159 wiadebug.log
11.12.2006 17:47 50 wiaservc.log
11.12.2006 17:46 0 0.log
11.12.2006 17:46 2.048 bootstat.dat
11.12.2006 17:45 60.702 WindowsUpdate.log
11.12.2006 16:34 1.376 qmplfenu.txt
11.12.2006 13:54 173.023 setupact.log
08.12.2006 21:06 202 NeroDigital.ini
05.12.2006 00:55 495 plugin.ini
04.12.2006 18:32 604.411 setupapi.log
01.12.2006 12:51 178.692 cFosSpeed_Setup_Log.txt
26.11.2006 14:29 20.010 DPINST.LOG
15.10.2006 11:57 19.243 wmsetup.log
08.10.2006 01:39 16.638 mozver.dat
08.10.2006 01:39 922 win.ini
08.10.2006 00:00 1.492 psmplay.ini
04.10.2006 21:01 11.025 KB912919.log
11.09.2006 17:10 16.417 cdplayer.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\Temp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.07.2006 14:05 1.652.512 Rawflow.ocx




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\

11.12.2006 17:53 0 sys.txt
11.12.2006 17:52 884 down.txt
11.12.2006 17:52 117 tmp.txt
11.12.2006 17:52 7.371 system.txt
11.12.2006 17:52 388 systemtemp.txt
11.12.2006 17:52 116.012 system32.txt
11.12.2006 17:46 805.306.368 pagefile.sys
11.12.2006 16:42 4.238 avenger.txt
11.12.2006 15:59 770 VundoFix.txt

#10 1.
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccy

Files to delete:
C:\WINDOWS\system32\yccdd.ini
C:\WINDOWS\system32\yccdd.tmp
C:\WINDOWS\system32\yccdd.bak1
C:\WINDOWS\system32\jjkkj.tmp

2.
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#11 guten abend

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ymjcafak

*******************

Script file located at: \??\C:\Program Files\qbolymiv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\yccdd.ini deleted successfully.
File C:\WINDOWS\system32\yccdd.tmp deleted successfully.
File C:\WINDOWS\system32\yccdd.bak1 deleted successfully.
File C:\WINDOWS\system32\jjkkj.tmp deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccy not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccy failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\system32

11.12.2006 17:03 0 CMMGR32.EXE
11.12.2006 15:58 24.576 VundoFixSVC.exe
11.12.2006 12:47 2.206 wpa.dbl
25.11.2006 00:57 13 Mediav_6_4.dll
20.11.2006 15:00 8.833 jupdate-1.5.0_09-b03.log
19.11.2006 12:00 191.384 FNTCACHE.DAT
11.11.2006 01:16 288.672 logfile.log
08.11.2006 16:50 270.336 cfosspeed.dll
29.10.2006 11:59 380.350 perfh009.dat
29.10.2006 11:59 63.580 perfc007.dat
29.10.2006 11:59 52.764 perfc009.dat
29.10.2006 11:59 391.000 perfh007.dat
29.10.2006 11:59 897.954 PerfStringBackup.INI
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
10.10.2006 08:54 4.608 nmwcdlog.dll
10.10.2006 08:54 30.720 nmwcdcocls.dll
10.10.2006 08:54 50.688 nmwcdcls.dll
02.10.2006 20:04 806.912 divx_xx07.dll
02.10.2006 20:04 806.912 divx_xx0c.dll
02.10.2006 20:04 790.528 divx_xx11.dll
02.10.2006 20:04 635.486 DivX.dll
02.10.2006 09:21 2.560 BitCometRes.dll
16.09.2006 16:56 2.932 d3d9caps.dat




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\DOKUME~1\tim\LOKALE~1\Temp

12.12.2006 00:37 16.384 ~DF2C72.tmp
12.12.2006 00:36 32.768 ~DFEB7C.tmp
12.12.2006 00:36 32.768 ~DFEBA0.tmp
11.12.2006 18:16 342 jusched.log
11.12.2006 18:12 32.768 ~DFBBD2.tmp
11.12.2006 17:47 32.768 ~DFF516.tmp
6 Datei(en) 147.798 Bytes
0 Verzeichnis(se), 5.754.970.112 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS

12.12.2006 00:36 51 iTouch.ini
12.12.2006 00:35 159 wiadebug.log
12.12.2006 00:35 50 wiaservc.log
12.12.2006 00:35 0 0.log
12.12.2006 00:35 2.048 bootstat.dat
12.12.2006 00:34 60.941 WindowsUpdate.log
11.12.2006 16:34 1.376 qmplfenu.txt
11.12.2006 13:54 173.023 setupact.log
08.12.2006 21:06 202 NeroDigital.ini
05.12.2006 00:55 495 plugin.ini
04.12.2006 18:32 604.411 setupapi.log
01.12.2006 12:51 178.692 cFosSpeed_Setup_Log.txt
26.11.2006 14:29 20.010 DPINST.LOG
15.10.2006 11:57 19.243 wmsetup.log
08.10.2006 01:39 16.638 mozver.dat
08.10.2006 01:39 922 win.ini
08.10.2006 00:00 1.492 psmplay.ini
04.10.2006 21:01 11.025 KB912919.log
11.09.2006 17:10 16.417 cdplayer.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\Temp




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.07.2006 14:05 1.652.512 Rawflow.ocx




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\

12.12.2006 00:39 0 sys.txt
12.12.2006 00:39 884 down.txt
12.12.2006 00:39 117 tmp.txt
12.12.2006 00:39 7.371 system.txt
12.12.2006 00:39 535 systemtemp.txt
12.12.2006 00:39 115.823 system32.txt
12.12.2006 00:35 805.306.368 pagefile.sys

#12 nun sieht es schon besser aus
scanne mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 so hat etwas gedauert

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Onestat
Path: :mozilla.7:C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Phoenix\Profiles\default\v5ranesi.slt\cookies.txt
Risk: Medium

Name: TrackingCookie.Onestat
Path: :mozilla.8:C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Phoenix\Profiles\default\v5ranesi.slt\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.6:C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Phoenix\Profiles\Standard-Benutzer\jmac8yrs.slt\cookies.txt
Risk: Medium

Name: TrackingCookie.Popuptraffic
Path: :mozilla.185:C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Phoenix\Profiles\Standard-Benutzer\jmac8yrs.slt\cookies.txt
Risk: Medium

Name: Backdoor.Agent.xn
Path: C:\Programme\Boilsoft ASF Converter\ASFConverter.exe
Risk: High

Name: Adware.NavExcel
Path: C:\WINDOWS\nxstinst.exe
Risk: Medium

Name: Adware.NavExcel
Path: C:\WINDOWS\remover.dll
Risk: Medium

#14 1.
nach dem scan - "remove infections" klicken

2.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

««««««««
dann sollte wieder alles i.o. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ah, das freut mich zu hören. ^^
Hab schon befürchtet ich müsste Windows neu installieren.

Danke dir wirklich vielmals für die kompetente Hilfe!

Hoffentlich nicht bis bald