Virus: W32/Stration.gen@MMThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
18.12.2006, 17:27
Member
Beiträge: 34 |
||
|
||
19.12.2006, 00:43
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 11:57
Member
Themenstarter Beiträge: 34 |
#3
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78 Verzeichnis von F:\WINDOWS\system32 19.12.2006 11:52 90'112 slbipsch.exe 19.12.2006 11:45 13'734 wpa.dbl 18.12.2006 16:16 126'976 brwstat.dll 18.12.2006 16:16 49'152 brwprf32.dll 18.12.2006 16:16 53'248 confbrw.dll 18.12.2006 16:16 335'872 brwmgr32.dll 18.12.2006 16:16 40'960 brwperf.exe 17.12.2006 17:53 114'688 slbipsch.dll 17.12.2006 17:53 20'480 e1.dll 17.12.2006 17:53 20'480 rdpwmsjt.exe 17.12.2006 17:53 28'672 vb5dmspo.dll 07.12.2006 18:47 8'891 jupdate-1.5.0_09-b03.log 07.12.2006 15:13 10'716'584 MRT.exe 07.12.2006 06:29 2'374'472 wmvcore.dll 14.11.2006 18:24 98'304 CmdLineExt.dll 13.11.2006 17:27 400'624 perfh009.dat 13.11.2006 17:27 62'286 perfc009.dat Ich hoff mal du hast das gemeint? |
|
|
||
19.12.2006, 12:08
Ehrenmitglied
Beiträge: 29434 |
#4
Muloo
es fehlen 5 logs von datfindbat - es sind 6 im ganzen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 12:47
Ehrenmitglied
Beiträge: 29434 |
#5
1.Log Verzeichnis von C:\WINDOWS\system32\
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp\ 3.Log Verzeichnis von C:\WINDOWS\ 4.Log Verzeichnis von C:\WINDOWS\temp\ 5.Log Verzeichnis von C:\WINDOWS\Downloaded Program Files 6.Log Verzeichnis von C:\ ------------------------------------------------------------------------- Kurzanleitung datfindbat 1. Doppel-klick DATFINDBAT 2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 3. auf das Command Fenster klicken und beliebige Taste drücken 4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 6. Wiederhole Schritt 3 und speichere als temp.txt 7. Wiederhole Schritt 3 und speichere als down.txt 8. Wiederhole Schritt 3 und speichere als c.txt 9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 12:55
Member
Themenstarter Beiträge: 34 |
#6
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78 Verzeichnis von F:\WINDOWS\system32 19.12.2006 11:52 90'112 slbipsch.exe 19.12.2006 11:45 13'734 wpa.dbl 18.12.2006 16:16 126'976 brwstat.dll 18.12.2006 16:16 49'152 brwprf32.dll 18.12.2006 16:16 53'248 confbrw.dll 18.12.2006 16:16 335'872 brwmgr32.dll 18.12.2006 16:16 40'960 brwperf.exe 17.12.2006 17:53 114'688 slbipsch.dll 17.12.2006 17:53 20'480 e1.dll 17.12.2006 17:53 20'480 rdpwmsjt.exe 17.12.2006 17:53 28'672 vb5dmspo.dll 07.12.2006 18:47 8'891 jupdate-1.5.0_09-b03.log 07.12.2006 15:13 10'716'584 MRT.exe 07.12.2006 06:29 2'374'472 wmvcore.dll 14.11.2006 18:24 98'304 CmdLineExt.dll 13.11.2006 17:27 400'624 perfh009.dat 13.11.2006 17:27 62'286 perfc009.dat Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 6424-FC78 Verzeichnis von F:\DOKUME~1\Maeph\LOKALE~1\Temp 19.12.2006 11:50 346 jusched.log 19.12.2006 11:46 16'384 ~DFC2AD.tmp 19.12.2006 11:46 512 ~DFB6B2.tmp 19.12.2006 11:46 16'384 ~DFB64A.tmp 18.12.2006 21:15 16'384 ~DFBB54.tmp 18.12.2006 21:15 16'384 ~DFD970.tmp 18.12.2006 18:51 16'384 ~DF3F09.tmp 18.12.2006 18:51 16'384 ~DF3407.tmp 18.12.2006 17:13 16'384 ~DF1066.tmp 18.12.2006 17:13 16'384 ~DFB5F9.tmp 10 Datei(en) 131'930 Bytes 0 Verzeichnis(se), 9'755'492'352 Bytes frei Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 6424-FC78 Verzeichnis von F:\WINDOWS 19.12.2006 11:43 0 0.log 19.12.2006 11:42 2'048 bootstat.dat 18.12.2006 21:35 32'618 SchedLgU.Txt 18.12.2006 21:34 1'446'804 WindowsUpdate.log 18.12.2006 16:16 0 egadata.tmp 18.12.2006 16:16 0 concfg.tmp 18.12.2006 16:16 0 attcfg.tmp 18.12.2006 13:30 0 b6iqdkku.scf 15.12.2006 13:59 84'285 iis6.log 15.12.2006 13:59 187'997 comsetup.log 15.12.2006 13:59 112'366 ntdtcsetup.log 15.12.2006 13:59 29'613 ocmsn.log 15.12.2006 13:59 1'393 imsins.log 15.12.2006 13:59 206'482 tsoc.log 15.12.2006 13:59 17'868 KB925454.log 15.12.2006 13:59 259'629 ocgen.log Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 6424-FC78 Verzeichnis von F:\WINDOWS\Temp 19.12.2006 12:43 255 WGAErrLog.txt 19.12.2006 11:45 409 WGANotify.settings 2 Datei(en) 664 Bytes 0 Verzeichnis(se), 9'755'480'064 Bytes frei Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 6424-FC78 Verzeichnis von F:\WINDOWS\Downloaded Program Files 19.10.2005 19:50 65 desktop.ini 27.08.2005 12:30 5'065 swflash.inf 13.04.2005 12:46 678 mcinsctl.inf 3 Datei(en) 5'808 Bytes 0 Verzeichnis(se), 9'755'480'064 Bytes frei Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 6424-FC78 Verzeichnis von F:\ 19.12.2006 12:55 0 sys.txt 19.12.2006 12:54 395 down.txt 19.12.2006 12:54 334 tmp.txt 19.12.2006 12:54 9'656 system.txt 19.12.2006 12:53 733 systemtemp.txt 19.12.2006 12:52 97'893 system32.txt 19.12.2006 11:42 1'610'141'696 hiberfil.sys 19.12.2006 11:42 2'145'386'496 pagefile.sys So denke das wolltest du^^ |
|
|
||
19.12.2006, 13:14
Ehrenmitglied
Beiträge: 29434 |
#7
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to replace with dummy:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste hier das log vom avenger, was nach neustart erscheint «« loesche das backup vom Avenger unter C:\Avenger\backup.zip »» ueberpruefe , ob dein Virenscanner funktioniert + die Windowsupdates __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 13:34
Member
Themenstarter Beiträge: 34 |
#8
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\tmjfryia ******************* Script file located at: \??\F:\WINDOWS\ybdeltgg.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at F:\Avenger ******************* Beginning to process script file: File F:\WINDOWS\egadata.tmp deleted successfully. File F:\WINDOWS\concfg.tmp deleted successfully. File F:\WINDOWS\attcfg.tmp deleted successfully. File F:\WINDOWS\b6iqdkku.scf deleted successfully. File F:\WINDOWS\system32\slbipsch.exe not found! Deletion of file F:\WINDOWS\system32\slbipsch.exe failed! Could not process line: F:\WINDOWS\system32\slbipsch.exe Status: 0xc0000034 File F:\WINDOWS\system32\brwstat.dll deleted successfully. File F:\WINDOWS\system32\brwprf32.dll deleted successfully. File F:\WINDOWS\system32\confbrw.dll deleted successfully. File F:\WINDOWS\system32\brwmgr32.dll deleted successfully. File F:\WINDOWS\system32\brwperf.exe deleted successfully. File F:\WINDOWS\system32\slbipsch.dll deleted successfully. File F:\WINDOWS\system32\e1.dll deleted successfully. File F:\WINDOWS\system32\rdpwmsjt.exe deleted successfully. File F:\WINDOWS\system32\vb5dmspo.dll deleted successfully. Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch deleted successfully. Completed script processing. ******************* Finished! Terminate. So Danke dir Sabina dann schau ich mal was mit meinem Virenscanner los ist. |
|
|
||
19.12.2006, 14:20
Ehrenmitglied
Beiträge: 29434 |
#9
»»
ueberpruefe , ob dein Virenscanner funktioniert + die Windowsupdates __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 14:39
Member
Themenstarter Beiträge: 34 |
#10
Virenscanner funktioniert aber automatisches Windowsupdate nicht und auch wenn ich manuell will hab ich ein verbindungsproblem.
|
|
|
||
19.12.2006, 16:07
Ehrenmitglied
Beiträge: 29434 |
#11
arbeite das ab - genau, wie es beschrieben ist, wenn es probleme geben sollte - melde dich
http://virus-protect.org/artikel/spyware/warezov_1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 19:54
Member
Themenstarter Beiträge: 34 |
#12
Also habs genau so gemacht wie es beschrieben war aber genüzt hats irgendwie nix ich poste dir mal follgendes falls dir das was bringt:
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 19.12.2006 - 19:47 Wert 0 Name: NoAutoUpdate Typ: REG_DWORD Daten: 0x0 Wert 1 Name: AUOptions Typ: REG_DWORD Daten: 0x3 Wert 2 Name: ScheduledInstallDay Typ: REG_DWORD Daten: 0x0 Wert 3 Name: ScheduledInstallTime Typ: REG_DWORD Daten: 0x11 Wert 4 Name: RescheduleWaitTime Typ: REG_DWORD Daten: 0x3 Wert 5 Name: NoAutoRebootWithLoggedOnUsers Typ: REG_DWORD Daten: 0x1 Wert 6 Name: UseWUServer Typ: REG_DWORD Daten: 0x1 Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 19.12.2006 - 19:38 Wert 0 Name: AUOptions Typ: REG_DWORD Daten: 0x2 Wert 1 Name: ScheduledInstallDay Typ: REG_DWORD Daten: 0x0 Wert 2 Name: ScheduledInstallTime Typ: REG_DWORD Daten: 0x3 Wert 3 Name: NextDetectionTime Typ: REG_SZ Daten: 2006-12-18 08:05:26 Wert 4 Name: ScheduledInstallDate Typ: REG_SZ Daten: 2006-12-18 02:00:00 Wert 5 Name: BalloonTime Typ: REG_SZ Daten: 2006-12-17 12:09:32 Wert 6 Name: BalloonType Typ: REG_DWORD Daten: 0x5 Wert 7 Name: OfflineDetectionPending Typ: REG_DWORD Daten: 0x1 Wert 8 Name: AUState Typ: REG_DWORD Daten: 0x2 Wert 9 Name: ConfigVer Typ: REG_DWORD Daten: 0x1 |
|
|
||
20.12.2006, 01:13
Ehrenmitglied
Beiträge: 29434 |
#13
diese reg musst du importieren in AU
http://virus-protect.org/artikel/spyware/warezov_1.html Zitat REGEDIT4dann schau dir auch alle anderen Schluessel an, die mit den Windowsupdates in Verbindung stehen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.12.2006, 11:02
Member
Themenstarter Beiträge: 34 |
#14
Ok hab genau das gemacht nur das autoupdate funktioniert immer noch nicht ich kann zwar manuell umstellen aber die fehlermeldung vom Windows-Sicherheitszentrum kommt nach wie vor und der PC macht auch keine anstalten nach einem Update zu suchen.
|
|
|
||
20.12.2006, 12:37
Ehrenmitglied
Beiträge: 29434 |
#15
die reg hast du auf keinen Fall korrekt importiert, denn in meinem Script steht:
"AUOptions"=dword:00000005 und bei dir ist es eine 3 da ich nicht vor deinem Rechner sitze, bin ich darauf angewiesen, dass du mir von allen Schritten berichtest, die du durchfuehrst und am besten auch immer die logs dazu postest. also : erstelle mal einen bericht, so: http://virus-protect.org/artikel/spyware/warezov_1.html 1. ich habe das und das gemacht ...dieser Schluessel so und so steht auf ... 2. dann war ich dort ...usw. usw. damit ich alles nachvollziehen kann - und wir den Fehler finden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Seit 2 Tagen bringt mir McAfee Virusscan andauernd follgende Meldung:
Virus gefunden
Datei: mcd3mscm.dll
Virusname: W32/Stration.gen@MM
Dateipfad: F:\Windows\system32
Status: Zur Reinigung war ein Löschvorgang erforderlich.
Danach empfielt Mcafee den PC komplett zu durchsuchen was aber nix daran ändert das das Ding immer wieder kommt.
Ich bin mir fast sicher das ich mir das Ding über ICQ eingefangen habe und zwar hab ich es von jemandem auf meiner Friendsliste einen Link erhalten unter dem Vorwand "my Picture" und anscheinend hat sich das ganze dann auch direkt an meine Kontaktliste weiterverschickt.
Logfile of HijackThis v1.99.1
Scan saved at 17:46:52, on 18.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Java\jre1.5.0_09\bin\jusched.exe
F:\Programme\McAfee.com\VSO\mcvsshld.exe
F:\Programme\McAfee.com\VSO\oasclnt.exe
F:\PROGRA~1\mcafee.com\agent\mcagent.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\WINDOWS\system32\brwconf.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
F:\Programme\Messenger\msmsgs.exe
f:\progra~1\mcafee.com\vso\mcvsescn.exe
F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
f:\progra~1\mcafee.com\vso\mcvsftsn.exe
f:\programme\mcafee.com\agent\mcdetect.exe
f:\PROGRA~1\mcafee.com\vso\mcshield.exe
f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
F:\Programme\iPod\bin\iPodService.exe
F:\WINDOWS\system32\wscntfy.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\WINDOWS\System32\slbipsch.exe
F:\DOKUME~1\Maeph\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - f:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: (no name) - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VSOCheckTask] "F:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] F:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] F:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] f:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] F:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [brwdiag] F:\WINDOWS\system32\brwconf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] F:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - F:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: slbipsch - F:\WINDOWS\system32\slbipsch.dll
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - f:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - f:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - F:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
Combofixscan sagt:
Maeph - 06-12-18 17:43:18.60 Service Pack 2
ComboFix 06.11.9 - Running from: "F:\Dokumente und Einstellungen\Maeph\Eigene Dateien"
((((((((((((((((((((((((((((((( Files Created from 2006-10-12 to 2006-11-12 ))))))))))))))))))))))))))))))))))
2006-11-12 22:30 40,960 --a------ F:\WINDOWS\system32\swsc.exe
2006-11-12 22:30 288,417 --a------ F:\WINDOWS\system32\SrchSTS.exe
2006-11-12 22:30 2,692 --a------ F:\WINDOWS\system32\tmp.reg
2006-11-12 22:30 135,168 --a------ F:\WINDOWS\system32\swreg.exe
2006-11-01 16:59 68,888 --a------ F:\WINDOWS\system32\xinput1_3.dll
2006-11-01 16:59 62,744 --a------ F:\WINDOWS\system32\xinput1_2.dll
2006-11-01 16:59 237,848 --a------ F:\WINDOWS\system32\xactengine2_4.dll
2006-11-01 16:59 236,824 --a------ F:\WINDOWS\system32\xactengine2_3.dll
2006-11-01 16:59 2,414,360 --a------ F:\WINDOWS\system32\d3dx9_31.dll
2006-11-01 16:59 2,297,552 --a------ F:\WINDOWS\system32\d3dx9_26.dll
2006-11-01 16:59 15,128 --a------ F:\WINDOWS\system32\x3daudio1_1.dll
2006-10-24 08:41 43,520 --a------ F:\WINDOWS\system32\CmdLineExt03.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-11-29 14:55 -------- d-------- F:\Programme\SpeedOptimizer
2006-11-29 14:40 -------- d-------- F:\Programme\eMule
2006-11-27 20:41 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\Ventrilo
2006-11-27 20:35 -------- d-------- F:\Programme\Ventrilo
2006-11-27 20:35 -------- d-------- F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-11-27 20:35 -------- d-------- F:\Programme\Gemeinsame Dateien
2006-11-27 19:11 -------- d-------- F:\Programme\Ryzom
2006-11-14 18:24 98304 --a------ F:\WINDOWS\system32\CmdLineExt.dll
2006-11-14 18:17 -------- d--h----- F:\Programme\InstallShield Installation Information
2006-11-14 18:17 -------- d-------- F:\Programme\Sierra
2006-11-14 18:16 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\InstallShield
2006-11-13 00:04 -------- d---s---- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\Microsoft
2006-11-12 23:13 -------- d-------- F:\Programme\Turbine
2006-11-09 20:30 -------- d-------- F:\Programme\StarWarsGalaxies
2006-11-08 06:06 679424 --a------ F:\WINDOWS\system32\inetcomm.dll
2006-11-01 15:16 -------- d-------- F:\Programme\RedBedlam
2006-10-31 22:56 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\SecondLife
2006-10-24 08:41 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\Sierra
2006-10-20 02:38 715776 --a------ F:\WINDOWS\system32\sxs.dll
2006-10-19 20:04 -------- d-------- F:\Programme\Kongsoft
2006-10-13 13:35 146432 --a------ F:\WINDOWS\system32\nwprovau.dll
2006-10-04 18:35 -------- d-------- F:\Programme\City of Heroes
2006-10-04 17:54 -------- d-------- F:\Programme\PokerStars.NET
2006-09-13 06:02 1084416 --a------ F:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ F:\WINDOWS\system32\comctl32.dll
2006-08-24 13:19 246814 --a------ F:\WINDOWS\system32\strmdll.dll
2006-08-24 13:17 500278 --a------ F:\WINDOWS\system32\dxmasf.dll
2006-08-21 13:26 16896 --a------ F:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ F:\WINDOWS\system32\fltmc.exe
2006-08-17 13:28 729600 --a------ F:\WINDOWS\system32\lsasrv.dll
2006-08-17 13:28 132096 --a------ F:\WINDOWS\system32\wkssvc.dll
2006-08-16 12:58 100352 --a------ F:\WINDOWS\system32\6to4svc.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\system32\\ctfmon.exe"
"AtiTrayTools"="F:\\Programme\\Radeon Omega Drivers\\v2.6.71\\ATI Tray Tools\\atitray.exe"
"MSMSGS"="\"F:\\Programme\\Messenger\\msmsgs.exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"F:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AtiPTA"="atiptaxx.exe"
"SunJavaUpdateSched"="\"F:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"NeroFilterCheck"="F:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"VSOCheckTask"="\"F:\\PROGRA~1\\McAfee.com\\VSO\\mcmnhdlr.exe\" /checktask"
"VirusScan Online"="F:\\Programme\\McAfee.com\\VSO\\mcvsshld.exe"
"OASClnt"="F:\\Programme\\McAfee.com\\VSO\\oasclnt.exe"
"MCAgentExe"="f:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"
"MCUpdateExe"="F:\\PROGRA~1\\mcafee.com\\agent\\McUpdate.exe"
"ICQ Lite"="\"F:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"iTunesHelper"="\"F:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"F:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"F:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"brwdiag"="F:\\WINDOWS\\system32\\brwconf.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-18 17:44:35.89
F:\ComboFix.txt ... 06-12-18 17:44
F:\ComboFix2.txt ... 06-11-12 17:54
Evtl könnt ihr mir ja helfen bei der Sache Danke