Home » Viren, Trojaner & Malware Forum » Bitte einmal Hijacklog prüfen. <-- Gebyx.dll » Themenansicht

Bitte einmal Hijacklog prüfen. <-- Gebyx.dll

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.12.2006, 17:15
Neil
...neu hier

Beiträge: 9
#1 Hallo. Habe mir auch mal wieder was eingefangen. Unten im Tray ein Rufzeichen ab und zu halt Popupfenster mit Werbung für Antivirussoftware. Bekomme Gebyx.dll nicht gelöscht .. auch nicht manuell.

Im Task: security warning; your computer may be infected with harmful or unwanted software.

Folgendes im Log.


Logfile of HijackThis v1.99.1
Scan saved at 17:13:54, on 13.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntivirXP\AVGUARD.EXE
D:\Ewido\AVG Anti-Spyware 7.5\guard.exe
D:\AntivirXP\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Modzilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Subzero\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{34DD8~1\Bar888.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [DiagAP8169] D:\MSI LAN\DiagAP8169 /hw
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvguw.dll,startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {80D5BF75-F01A-42A4-B7BB-9A698B75F698} - D:\XP-Antispy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {80D5BF75-F01A-42A4-B7BB-9A698B75F698} - D:\XP-Antispy\sponsoring\sponsor.html (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCEC2BB-4129-4DBF-97E0-802DBCD71A91}: NameServer = 217.237.151.51 217.237.151.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntivirXP\AVGUARD.EXE
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Ewido\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntivirXP\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

----------------------------------------------------------------------------
Mit Virtumundo


[12/13/2006, 16:08:52] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Subzero\Desktop\Neuer Ordner\VirtumundoBeGone.exe" )
[12/13/2006, 16:09:27] - Detected System Information:
[12/13/2006, 16:09:27] - Windows Version: 5.1.2600, Service Pack 2
[12/13/2006, 16:09:27] - Current Username: Subzero (Admin)
[12/13/2006, 16:09:27] - Windows is in NORMAL mode.
[12/13/2006, 16:09:27] - Searching for Browser Helper Objects:
[12/13/2006, 16:09:27] - BHO 1: {DFBC2A50-8F38-4C65-AED7-325007A3B7FF} ()
[12/13/2006, 16:09:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/13/2006, 16:09:27] - Checking for HKLM\...\Winlogon\Notify\gebyx
[12/13/2006, 16:09:27] - Found: HKLM\...\Winlogon\Notify\gebyx - This is probably Virtumundo.
[12/13/2006, 16:09:27] - Assigning {DFBC2A50-8F38-4C65-AED7-325007A3B7FF} MSEvents Object
[12/13/2006, 16:09:27] - BHO list has been changed! Starting over...
[12/13/2006, 16:09:27] - BHO 1: {DFBC2A50-8F38-4C65-AED7-325007A3B7FF} (MSEvents Object)
[12/13/2006, 16:09:27] - ALERT: Found MSEvents Object!
[12/13/2006, 16:09:27] - Finished Searching Browser Helper Objects
[12/13/2006, 16:09:27] - *** Detected MSEvents Object
[12/13/2006, 16:09:27] - Trying to remove MSEvents Object...
[12/13/2006, 16:09:28] - Terminating Process: IEXPLORE.EXE
[12/13/2006, 16:09:28] - Terminating Process: RUNDLL32.EXE
[12/13/2006, 16:09:29] - Disabling Automatic Shell Restart
[12/13/2006, 16:09:29] - Terminating Process: EXPLORER.EXE
[12/13/2006, 16:09:29] - Suspending the NT Session Manager System Service
[12/13/2006, 16:09:29] - Terminating Windows NT Logon/Logoff Manager

--------------------------------------------------------------------------

Bräuchte echt mal Rat :/
Dieser Beitrag wurde am 13.12.2006 um 18:05 Uhr von Neil editiert.
Seitenanfang Seitenende
13.12.2006, 19:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
Clearprog- anwenden
http://virus-protect.org/clearprog.html

2.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 20:16
Neil
...neu hier

Themenstarter

Beiträge: 9
#3 Combofixlog

Subzero - 06-12-13 20:12:45,75 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Subzero\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{64DD8CE5-08A3-1031-0721-060411050031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\PPPATC~1


((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 ))))))))))))))))))))))))))))))))))


2006-12-13 19:52 <DIR> dr-h----- C:\Dokumente und Einstellungen\Subzero\Recent
2006-12-13 15:26 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-13 12:45 88,340 --a------ C:\WINDOWS\system32\lrimtbpr.exe
2006-12-13 12:45 126,996 --a------ C:\WINDOWS\system32\asxlookt.dll
2006-12-13 12:44 276,532 --------- C:\WINDOWS\system32\gebyx.dll
2006-12-13 12:41 19,456 --a------ C:\WINDOWS\system32\olnohdw.dll
2006-12-13 12:39 72,704 --a------ C:\WINDOWS\system32\drvguw.dll
2006-12-13 12:38 19,456 --a------ C:\WINDOWS\system32\winepi32.dll
2006-12-13 12:18 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2006-12-13 12:18 <DIR> d-------- C:\WINDOWS\system32\Lang
2006-12-12 22:23 36,352 -ra------ C:\WINDOWS\system32\drivers\AmdK8.sys
2006-12-12 22:23 100,096 -ra------ C:\WINDOWS\system32\nvtcp.sys
2006-12-12 21:52 9,728 -ra------ C:\WINDOWS\system32\bdco1ins.dll
2006-12-12 21:52 33,280 -ra------ C:\WINDOWS\system32\nvconrmins.dll
2006-12-12 21:52 201,728 -ra------ C:\WINDOWS\system32\fdco1ins.dll
2006-12-12 21:52 101,120 -ra------ C:\WINDOWS\system32\drivers\nvtcp.sys
2006-12-12 21:47 61,056 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys
2006-12-12 21:47 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2006-12-12 21:47 53,248 --a------ C:\WINDOWS\system32\drivers\1394bus.sys
2006-12-12 21:15 577,536 -ra------ C:\WINDOWS\SOUNDMAN.EXE
2006-12-12 21:15 3,964,736 -ra------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2006-12-12 21:15 217,088 -ra------ C:\WINDOWS\Alcrmv.exe
2006-12-12 21:15 135,168 -ra------ C:\WINDOWS\system32\RTLCPAPI.dll
2006-12-12 21:15 10,527,232 -ra------ C:\WINDOWS\system32\RTLCPL.EXE
2006-12-12 21:12 33,280 -ra------ C:\WINDOWS\system32\NVCOI.DLL
2006-12-12 21:12 176,128 --------- C:\WINDOWS\system32\nvuide.exe
2006-12-12 21:11 9,728 -ra------ C:\WINDOWS\system32\bdco1.dll
2006-12-12 21:11 33,536 -ra------ C:\WINDOWS\system32\drivers\NVENETFD.sys
2006-12-12 21:11 32,256 -ra------ C:\WINDOWS\system32\nvconrm.dll
2006-12-12 21:11 261,888 -ra------ C:\WINDOWS\system32\drivers\nvnrm.sys
2006-12-12 21:11 208,256 -ra------ C:\WINDOWS\system32\drivers\nvsnpu.sys
2006-12-12 21:11 201,728 -ra------ C:\WINDOWS\system32\fdco1.dll
2006-12-12 21:11 176,128 -ra------ C:\WINDOWS\system32\nvusmb.exe
2006-12-12 21:11 176,128 -ra------ C:\WINDOWS\system32\nvunrm.exe
2006-12-12 21:11 12,928 -ra------ C:\WINDOWS\system32\drivers\nvnetbus.sys
2006-12-12 20:44 143,360 --a------ C:\WINDOWS\system32\IpLib.dll
2006-12-12 20:44 11,266 --a------ C:\WINDOWS\system32\drivers\diag69xp.sys
2006-12-12 20:44 <DIR> d-------- C:\Programme\MSI
2006-12-12 20:40 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2006-12-12 19:20 93,568 -ra------ C:\WINDOWS\system32\drivers\nvata.sys
2006-12-12 19:20 289,792 -ra------ C:\WINDOWS\system32\idecoins.dll
2006-12-03 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Subzero\Anwendungsdaten\Azureus
2006-11-29 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2006-11-29 18:00 <DIR> d-------- C:\NVIDIA
2006-11-22 20:15 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-11-22 20:15 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-11-22 20:15 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-13 20:12 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-12 20:44 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-12 20:40 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-12-12 19:22 -------- d-------- C:\Programme\Windows Media Player
2006-12-12 19:04 -------- d---s---- C:\Dokumente und Einstellungen\Subzero\Anwendungsdaten\Microsoft
2006-11-08 13:24 -------- d-------- C:\Dokumente und Einstellungen\Subzero\Anwendungsdaten\FrostWire
2006-11-04 13:35 -------- d-------- C:\Programme\FrostWire
2006-10-22 15:06 208896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-10-22 15:06 208896 --a------ C:\WINDOWS\system32\nvudisp.exe
2006-10-22 12:22 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-10-22 12:22 86016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-10-22 12:22 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-10-22 12:22 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-10-22 12:22 7700480 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-10-22 12:22 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-10-22 12:22 5644288 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-10-22 12:22 5619712 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-10-22 12:22 5255168 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-10-22 12:22 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-10-22 12:22 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-10-22 12:22 4527488 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-10-22 12:22 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-10-22 12:22 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-10-22 12:22 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-10-22 12:22 3994624 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2006-10-22 12:22 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-10-22 12:22 35840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-10-22 12:22 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-10-22 12:22 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-10-22 12:22 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-10-22 12:22 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-10-22 12:22 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-10-22 12:22 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-10-22 12:22 323584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-10-22 12:22 323584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-10-22 12:22 3203072 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-10-22 12:22 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-10-22 12:22 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-10-22 12:22 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-10-22 12:22 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-10-22 12:22 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-10-22 12:22 311296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-10-22 12:22 3047424 --a------ C:\WINDOWS\system32\nvgames.dll
2006-10-22 12:22 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-10-22 12:22 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-10-22 12:22 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-10-22 12:22 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-10-22 12:22 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-10-22 12:22 2973696 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-10-22 12:22 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-10-22 12:22 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-10-22 12:22 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-10-22 12:22 2924544 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-10-22 12:22 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-10-22 12:22 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-10-22 12:22 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-10-22 12:22 2859008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-10-22 12:22 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-10-22 12:22 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-10-22 12:22 278528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-10-22 12:22 274432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-10-22 12:22 274432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-10-22 12:22 274432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-10-22 12:22 270336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-10-22 12:22 266240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-10-22 12:22 266240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-10-22 12:22 266240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-10-22 12:22 262144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-10-22 12:22 262144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-10-22 12:22 262144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-10-22 12:22 258048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-10-22 12:22 253952 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-10-22 12:22 249856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-10-22 12:22 249856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-10-22 12:22 249856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-10-22 12:22 249856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-10-22 12:22 249856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-10-22 12:22 245760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-10-22 12:22 245760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-10-22 12:22 241664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-10-22 12:22 241664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-10-22 12:22 241664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-10-22 12:22 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-10-22 12:22 221184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-10-22 12:22 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-10-22 12:22 212992 --a------ C:\WINDOWS\system32\nvapi.dll
2006-10-22 12:22 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-10-22 12:22 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-10-22 12:22 1732608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-10-22 12:22 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-10-22 12:22 1662976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-10-22 12:22 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-10-22 12:22 1622016 --a------ C:\WINDOWS\system32\nwiz.exe
2006-10-22 12:22 159810 --a------ C:\WINDOWS\system32\nvsvc32.exe
2006-10-22 12:22 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-10-22 12:22 1470464 --a------ C:\WINDOWS\system32\nview.dll
2006-10-22 12:22 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-10-22 12:22 1236992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-10-22 12:22 118784 --a------ C:\WINDOWS\system32\nvrszht.dll
2006-10-22 12:22 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-10-22 12:22 1011712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-10-18 18:26 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-09-22 20:25 22 ---h----- C:\Dokumente und Einstellungen\Subzero\Anwendungsdaten\xpy.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"DiagAP8169"="D:\\MSI LAN\\DiagAP8169 /hw"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"SoundMan"="SOUNDMAN.EXE"
"CTDrive"="rundll32.exe C:\\WINDOWS\\system32\\drvguw.dll,startup"
"AVGCtrl"="D:\\AntivirXP\\AVGNT.EXE /min"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{5f938c17-fbc7-4a3c-8526-85e5b1a1f762}"="astral"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="\"D:\\AntivirXP\\AVGNT.EXE\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NVMixerTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="D:\\Spybot\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winepi32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-13 20:13:13.46
C:\ComboFix.txt ... 06-12-13 20:13

--------------------------------------------------------------------------

Das ist doch mit 3 Monate gemeint oder?

Hier der Log


Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS\system32

13.12.2006 20:17 704.191 xybeg.ini
13.12.2006 19:59 2.206 wpa.dbl
13.12.2006 19:59 87.831 nvapps.xml
13.12.2006 18:10 143 mcrh.tmp
13.12.2006 12:45 126.996 asxlookt.dll
13.12.2006 12:45 88.340 lrimtbpr.exe
13.12.2006 12:44 276.532 gebyx.dll
13.12.2006 12:41 19.456 olnohdw.dll
13.12.2006 12:41 4.286 ot.ico
13.12.2006 12:41 4.286 ts.ico
13.12.2006 12:39 72.704 drvguw.dll
13.12.2006 12:38 19.456 winepi32.dll
13.12.2006 12:18 146.650 BuzzingBee.wav

---------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\DOKUME~1\Subzero\LOKALE~1\Temp

--------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS

13.12.2006 19:59 0 0.log
13.12.2006 19:59 1.561.450 WindowsUpdate.log
13.12.2006 19:59 159 wiadebug.log
13.12.2006 19:58 50 wiaservc.log
13.12.2006 19:58 2.048 bootstat.dat
13.12.2006 19:53 967.084 ntbtlog.txt
13.12.2006 17:47 1.101.436 setupapi.log
13.12.2006 17:22 32.622 SchedLgU.Txt
13.12.2006 12:18 60.416 ALCFDRTM.VER
13.12.2006 12:18 60.416 ALCFDRTM.EXE
13.12.2006 01:13 157 setupact.log
12.12.2006 21:11 3.207 xpsp1hfm.log
12.12.2006 20:08 292 nsw.log
06.12.2006 13:18 1.442 wmsetup.log
19.10.2006 17:28 227 system.ini
18.10.2006 18:01 535 eReg.dat
26.09.2006 18:50 3.680 KB925486.log
23.09.2006 16:17 40.613 WgaNotify.log
22.09.2006 20:29 788.252 iis6.log
22.09.2006 20:29 111.777 ntdtcsetup.log
22.09.2006 20:29 34.437 tabletoc.log
22.09.2006 20:29 24.796 ocmsn.log
22.09.2006 20:29 318.968 tsoc.log
22.09.2006 20:29 32.495 medctroc.Log
22.09.2006 20:29 119.619 netfxocm.log
22.09.2006 20:29 34.329 msgsocm.log
22.09.2006 20:29 668.023 FaxSetup.log
22.09.2006 20:29 217.506 msmqinst.log
15.09.2006 01:03 19.671 KB920685.log
15.09.2006 01:03 21.954 KB920872.log
15.09.2006 01:02 19.820 KB919007.log
15.09.2006 01:02 16.053 KB922582.log
15.09.2006 01:02 38.490 updspapi.log

---------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS\temp

13.12.2006 20:14 0 win20.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 1.719.779.328 Bytes frei

-------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.12.2006 01:00 1.073.914 tcscan7.dat
06.12.2006 01:00 32 virscant.dat
06.12.2006 01:00 3.893.329 virscan9.dat
06.12.2006 01:00 1.638.983 virscan8.dat
06.12.2006 01:00 4.978.718 virscan7.dat
06.12.2006 01:00 389.876 virscan6.dat
06.12.2006 01:00 2.504 catalog.dat
06.12.2006 01:00 2.975.238 virscan5.dat
06.12.2006 01:00 320.186 virscan4.dat
06.12.2006 01:00 6.899 ecbootil.vxd
06.12.2006 01:00 147.188 virscan3.dat
06.12.2006 01:00 272.040 ecmsvr32.dll
06.12.2006 01:00 569.910 virscan2.dat
06.12.2006 01:00 972.726 virscan1.dat
06.12.2006 01:00 106.244 virscan.inf
06.12.2006 01:00 2.269 v.sig
06.12.2006 01:00 124.584 naveng32.dll
06.12.2006 01:00 882.344 navex32a.dll
06.12.2006 01:00 4.778 v.grd
06.12.2006 01:00 97.696 scrauth.dat
06.12.2006 01:00 9.237 symaveng.cat
06.12.2006 01:00 1.061 symaveng.inf
06.12.2006 01:00 186.932 tcdefs.dat
06.12.2006 01:00 224 zdone.dat
06.12.2006 01:00 321.949 tcscan8.dat
06.12.2006 01:00 724.727 tcscan9.dat
06.12.2006 01:00 453 tinf.dat
06.12.2006 01:00 148 tinfidx.dat
06.12.2006 01:00 1.957 tinfl.dat
06.12.2006 01:00 62.331 tscan1.dat
06.12.2006 01:00 3.027 tscan1hd.dat
13.11.2006 19:48 946.296 asquared.ocx
17.05.2006 14:32 161.480 rufsi.dll
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 241 CabSA.inf
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
17.05.2006 14:26 42.112 ecmldr32.dll
17.05.2006 14:26 537.704 AXXPEE.dll

----------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\

13.12.2006 20:30 0 sys.txt
13.12.2006 20:29 2.534 down.txt
13.12.2006 20:29 264 tmp.txt
13.12.2006 20:27 8.468 system.txt
13.12.2006 20:25 125 systemtemp.txt
13.12.2006 20:18 100.469 system32.txt
13.12.2006 20:13 17.009 ComboFix.txt
13.12.2006 19:58 1.073.270.784 hiberfil.sys
13.12.2006 19:58 1.610.612.736 pagefile.sys
22.06.2006 21:39 221 boot.ini
19.06.2006 15:33 1.801.216 Snap.avi
14.04.2006 12:20 3.176 smitfiles.txt
20.12.2005 13:57 47.564 NTDETECT.COM
20.12.2005 13:57 251.184 ntldr
17.12.2005 15:18 0 MSDOS.SYS
17.12.2005 15:18 0 IO.SYS
17.12.2005 15:18 0 CONFIG.SYS
17.12.2005 15:18 0 AUTOEXEC.BAT
31.10.2005 16:56 700.416 StubInstaller.exe
18.08.2001 20:00 4.952 bootfont.bin
20 Datei(en) 2.686.821.118 Bytes
0 Verzeichnis(se), 1.719.754.752 Bytes frei

---------------------------------------------------------------------

Ich hoffe das ich alles richtig gemacht habe.


EDIT

Nochmal HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:13:28, on 13.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\AntivirXP\AVGUARD.EXE
D:\Ewido\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\AntivirXP\AVGNT.EXE
D:\AntivirXP\AVWUPSRV.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
D:\Modzilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Subzero\Desktop\PROGZ\HJT.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {05912FB2-916B-42DF-9FF8-57F423CD6915} - C:\WINDOWS\system32\gebyx.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{34DD8~1\Bar888.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [DiagAP8169] D:\MSI LAN\DiagAP8169 /hw
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\AntivirXP\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {80D5BF75-F01A-42A4-B7BB-9A698B75F698} - D:\XP-Antispy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {80D5BF75-F01A-42A4-B7BB-9A698B75F698} - D:\XP-Antispy\sponsoring\sponsor.html (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCEC2BB-4129-4DBF-97E0-802DBCD71A91}: NameServer = 217.237.151.51 217.237.151.205
O20 - Winlogon Notify: gebyx - C:\WINDOWS\system32\gebyx.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winepi32 - C:\WINDOWS\SYSTEM32\winepi32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntivirXP\AVGUARD.EXE
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Ewido\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntivirXP\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

---------------------------------------------------------------------------

Nachdem ich Smitfraud im Safe Mode angeschmissen + Reboot ist die Meldung nich mehr im Task. Ich hoffe alles ist gut bzw. es bleibt so. Wär aber nett wenn noch einer oder du Sabina was zu den Logs sagst und btw. danke für die Hilfe.
Dieser Beitrag wurde am 13.12.2006 um 21:15 Uhr von Neil editiert.
Seitenanfang Seitenende
13.12.2006, 21:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{C1B4DEC2-2623-438e-9CA2-C9043AB28508}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{5f938c17-fbc7-4a3c-8526-85e5b1a1f762}

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFBC2A50-8F38-4C65-AED7-325007A3B7FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5f938c17-fbc7-4a3c-8526-85e5b1a1f762}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05912FB2-916B-42DF-9FF8-57F423CD6915}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05912FB2-916B-42DF-9FF8-57F423CD6915}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1B4DEC2-2623-438e-9CA2-C9043AB28508}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winepi32

Files to delete:
C:\WINDOWS\temp\win20.tmp
C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\asxlookt.dll
C:\WINDOWS\system32\lrimtbpr.exe
C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\olnohdw.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\drvguw.dll
C:\WINDOWS\system32\winepi32.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

**
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 21:52
Neil
...neu hier

Themenstarter

Beiträge: 9
#5 LOG

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS\system32

13.12.2006 21:44 2.206 wpa.dbl
13.12.2006 21:44 87.831 nvapps.xml
13.12.2006 12:18 146.650 BuzzingBee.wav
13.12.2006 12:18 940.794 LoopyMusic.wav
12.12.2006 19:25 52.764 perfc009.dat
12.12.2006 19:25 63.580 perfc007.dat
12.12.2006 19:25 380.350 perfh009.dat
12.12.2006 19:25 391.000 perfh007.dat
12.12.2006 19:25 897.954 PerfStringBackup.INI


------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\DOKUME~1\Subzero\LOKALE~1\Temp

13.12.2006 21:44 412 jusched.log
13.12.2006 21:38 32.768 ~DF5B14.tmp
13.12.2006 21:33 32.768 ~DFBCA9.tmp
3 Datei(en) 65.948 Bytes
0 Verzeichnis(se), 1.725.267.968 Bytes frei

--------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS

13.12.2006 21:44 0 0.log
13.12.2006 21:44 1.572.274 WindowsUpdate.log
13.12.2006 21:44 159 wiadebug.log
13.12.2006 21:44 50 wiaservc.log
13.12.2006 21:44 2.048 bootstat.dat
13.12.2006 21:43 32.622 SchedLgU.Txt
13.12.2006 21:20 60.416 ALCFDRTM.VER
13.12.2006 20:50 337 setupact.log
13.12.2006 20:49 1.074.518 ntbtlog.txt
13.12.2006 17:47 1.101.436 setupapi.log
13.12.2006 12:18 60.416 ALCFDRTM.EXE
12.12.2006 21:11 3.207 xpsp1hfm.log
12.12.2006 20:08 292 nsw.log


-----------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS\temp

13.12.2006 21:49 408 WGANotify.settings
13.12.2006 21:44 255 WGAErrLog.txt
13.12.2006 21:28 0 winA.tmp
3 Datei(en) 663 Bytes
0 Verzeichnis(se), 1.725.267.968 Bytes frei

-----------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.12.2006 01:00 1.073.914 tcscan7.dat
06.12.2006 01:00 32 virscant.dat
06.12.2006 01:00 3.893.329 virscan9.dat
06.12.2006 01:00 1.638.983 virscan8.dat
06.12.2006 01:00 4.978.718 virscan7.dat
06.12.2006 01:00 389.876 virscan6.dat
06.12.2006 01:00 2.504 catalog.dat
06.12.2006 01:00 2.975.238 virscan5.dat
06.12.2006 01:00 320.186 virscan4.dat
06.12.2006 01:00 6.899 ecbootil.vxd
06.12.2006 01:00 147.188 virscan3.dat
06.12.2006 01:00 272.040 ecmsvr32.dll
06.12.2006 01:00 569.910 virscan2.dat
06.12.2006 01:00 972.726 virscan1.dat
06.12.2006 01:00 106.244 virscan.inf
06.12.2006 01:00 2.269 v.sig
06.12.2006 01:00 124.584 naveng32.dll
06.12.2006 01:00 882.344 navex32a.dll
06.12.2006 01:00 4.778 v.grd
06.12.2006 01:00 97.696 scrauth.dat
06.12.2006 01:00 9.237 symaveng.cat
06.12.2006 01:00 1.061 symaveng.inf
06.12.2006 01:00 186.932 tcdefs.dat
06.12.2006 01:00 224 zdone.dat
06.12.2006 01:00 321.949 tcscan8.dat
06.12.2006 01:00 724.727 tcscan9.dat
06.12.2006 01:00 453 tinf.dat
06.12.2006 01:00 148 tinfidx.dat
06.12.2006 01:00 1.957 tinfl.dat
06.12.2006 01:00 62.331 tscan1.dat
06.12.2006 01:00 3.027 tscan1hd.dat
13.11.2006 19:48 946.296 asquared.ocx
17.05.2006 14:32 161.480 rufsi.dll
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 241 CabSA.inf
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
17.05.2006 14:26 42.112 ecmldr32.dll
17.05.2006 14:26 537.704 AXXPEE.dll

----------------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN
Volumeseriennummer: 64DD-8CE5

Verzeichnis von C:\

13.12.2006 21:51 0 sys.txt
13.12.2006 21:50 2.534 down.txt
13.12.2006 21:50 370 tmp.txt
13.12.2006 21:49 8.468 system.txt
13.12.2006 21:48 382 systemtemp.txt
13.12.2006 21:46 99.994 system32.txt
13.12.2006 21:44 1.073.270.784 hiberfil.sys
13.12.2006 21:44 8.390 avenger.txt
13.12.2006 21:44 1.610.612.736 pagefile.sys
13.12.2006 21:39 930 VundoFix.txt
13.12.2006 20:13 17.009 ComboFix.txt
22.06.2006 21:39 221 boot.ini
19.06.2006 15:33 1.801.216 Snap.avi
14.04.2006 12:20 3.176 smitfiles.txt

---------------------------------------------------------------------
Seitenanfang Seitenende
13.12.2006, 22:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Neil

das schaut schon mal gut aus ;)

««
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
scanne und poste den scanreport hier
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 23:49
Neil
...neu hier

Themenstarter

Beiträge: 9
#7 So hier der Scan.

LOG

SUPERAntiSpyware Scan Log
Generated 12/13/2006 at 11:48 PM

Application Version : 3.3.1020

Core Rules Database Version : 3147
Trace Rules Database Version: 1163

Scan type : Complete Scan
Total Scan Time : 00:17:16

Memory items scanned : 313
Memory Thread detected : 0
Registry items scanned : 3768
Registry Thread detected : 4
File items scanned : 27130
File Thread detected : 2

Unclassified.Unknown Origin
HKCR\CLSID\{35F7813A-AF74-4474-B1DC-7EE6FB6C43C6}
HKCR\CLSID\{35F7813A-AF74-4474-B1DC-7EE6FB6C43C6}\InprocServer32
HKCR\CLSID\{35F7813A-AF74-4474-B1DC-7EE6FB6C43C6}\InprocServer32#ThreadingModel

Adware.IPWins
HKU\S-1-5-21-823518204-412668190-725345543-1003\Software\IpWins

Trojan.Downloader-SpyTool
C:\SYSTEM VOLUME INFORMATION\_RESTORE{4BF6EDB1-31C8-4853-8F58-73267D564BB5}\RP145\A0038329.DLL

Trojan.Downloader-DRVSAM
C:\SYSTEM VOLUME INFORMATION\_RESTORE{4BF6EDB1-31C8-4853-8F58-73267D564BB5}\RP145\A0038331.DLL
Seitenanfang Seitenende
14.12.2006, 10:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 poste hier das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.12.2006, 12:38
Neil
...neu hier

Themenstarter

Beiträge: 9
#9 Hey.

LOG


Logfile of HijackThis v1.99.1
Scan saved at 12:37:06, on 14.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntivirXP\AVGUARD.EXE
D:\Ewido\AVG Anti-Spyware 7.5\guard.exe
D:\AntivirXP\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\AntivirXP\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\WgaTray.exe
D:\Modzilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Subzero\Desktop\PROGZ\HJT.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [DiagAP8169] D:\MSI LAN\DiagAP8169 /hw
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\AntivirXP\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {80D5BF75-F01A-42A4-B7BB-9A698B75F698} - D:\XP-Antispy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {80D5BF75-F01A-42A4-B7BB-9A698B75F698} - D:\XP-Antispy\sponsoring\sponsor.html (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCEC2BB-4129-4DBF-97E0-802DBCD71A91}: NameServer = 217.237.151.51 217.237.151.205
O20 - Winlogon Notify: !SASWinLogon - D:\SuperANTISpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntivirXP\AVGUARD.EXE
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Ewido\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntivirXP\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Seitenanfang Seitenende
14.12.2006, 13:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Neil

loesche noch manuell alle win....tmp - Dateien aus diesem Ordner

C:\WINDOWS\temp
13.12.2006 21:28 0 winA.tmp

dann sollte wieder alles i.o. sein. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.12.2006, 13:33
Neil
...neu hier

Themenstarter

Beiträge: 9
#11 Ok hab ich gemacht.

Ersma ganz dickes DANKE für deine Ausführliche Hilfe dachte schon Format C. Ich wünsch dir und den Rest den Boards ein frohes Fest.

Ich hoffe ich hab den Dreck nun hinter mir.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1