Home » Spyware & Browser Hijacker Support Forum » "Critical System Error - VirusRescue - AntiVermins » Themenansicht
"Critical System Error - VirusRescue - AntiVermins |
||
|---|---|---|
| #0
| ||
|
24.12.2006, 12:11
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
25.12.2006, 15:15
Ehrenmitglied
 Beiträge: 29434 |
#2
hidden
Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) VirusRescue in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn in: "Enter search strings" (reinschreiben oder reinkopieren) AntiVermins in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn in: "Enter search strings" (reinschreiben oder reinkopieren) Video ActiveX Object in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn _______________________________________________________ http://virus-protect.org/artikel/tools/agentransack.html kopiere in Suche: VirusRescue und poste hier , was erscheint ! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.12.2006, 05:27
...neu hier
Themenstarter Beiträge: 5 |
#3
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.12.2006 05:16:55 for strings: ; 'virusrescue' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CF79DAB6-0AFE-4678-856D-44574D91915C}] @="VirusRescue.VRShellExt" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CF79DAB6-0AFE-4678-856D-44574D91915C}\AppID] @="VirusRescue.VRShellExt" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{598CA4D5-6870-47F0-B513-E3EFBA809B22}\InProcServer32] @="C:\\Programme\\VirusRescue\\vrext.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{753D7DED-2454-44A3-959D-DC3700FC6B6E}\InprocServer32] @="C:\\Programme\\VirusRescue\\vrext.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF79DAB6-0AFE-4678-856D-44574D91915C}] @="VirusRescue.VRShellExt" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF79DAB6-0AFE-4678-856D-44574D91915C}\LocalServer32] @="C:\\Programme\\VirusRescue\\VirusRescue.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2E88F662-2027-421D-9874-F3DBC2207BAB}\1.0\0\win32] @="C:\\Programme\\VirusRescue\\vrext.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2E88F662-2027-421D-9874-F3DBC2207BAB}\1.0\HELPDIR] @="C:\\Programme\\VirusRescue\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7DF0578-D732-4BFB-A65B-89C1CCEA01CC}\1.0] @="The VirusRescue Shell Extensions library" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7DF0578-D732-4BFB-A65B-89C1CCEA01CC}\1.0\0\win32] @="C:\\Programme\\VirusRescue\\VirusRescue.tlb" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7DF0578-D732-4BFB-A65B-89C1CCEA01CC}\1.0\HELPDIR] @="C:\\Programme\\VirusRescue" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusRescue] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusrescue.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusrescue.exe] @="C:\\Programme\\VirusRescue\\VirusRescue.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VirusRescue"="C:\\Programme\\VirusRescue\\VirusRescue.exe /s" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusRescue] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusRescue] "DisplayName"="VirusRescue v3.0.2" "UninstallString"="C:\\Programme\\VirusRescue\\uninst.exe" "DisplayIcon"="C:\\Programme\\VirusRescue\\VirusRescue.exe" "NSIS:StartMenuDir"="VirusRescue" "URLInfoAbout"="http://www.VirusRescue.com" "Publisher"="VirusRescue.com" [HKEY_LOCAL_MACHINE\SOFTWARE\VirusRescue] [HKEY_LOCAL_MACHINE\SOFTWARE\VirusRescue] "Path"="C:\\Programme\\VirusRescue\\stop.set" "dir"="C:\\Programme\\VirusRescue" [HKEY_LOCAL_MACHINE\SOFTWARE\VirusRescue\OnAccess] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vrsvc] ; Contents of value: ; c:\programme\virusrescue\vrsvc.exe "ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,56,69,72,75,73,52,65,\ 73,63,75,65,5c,76,72,73,76,63,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vrsvc] ; Contents of value: ; c:\programme\virusrescue\vrsvc.exe "ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,56,69,72,75,73,52,65,\ 73,63,75,65,5c,76,72,73,76,63,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vrsvc] ; Contents of value: ; c:\programme\virusrescue\vrsvc.exe "ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,56,69,72,75,73,52,65,\ 73,63,75,65,5c,76,72,73,76,63,2e,65,78,65,00 [HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\VirusRescue] [HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\VirusRescue\\VirusRescue.exe"="VirusRescue" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.12.2006 05:18:31 for strings: ; 'antivermins' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\AntiVermins] ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.12.2006 05:20:01 for strings: ; 'video activex object' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}\InprocServer32] @="C:\\Programme\\Video ActiveX Object\\iesplugin.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a1ddc19-5893-43ab-a73f-f41a0f34d115}\InprocServer32] @="C:\\Programme\\Video ActiveX Object\\isaddon.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006] "UninstallString"="\"C:\\Programme\\Video ActiveX Object\\iesuninst.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On] "UninstallString"="\"C:\\Programme\\Video ActiveX Object\\isauninst.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03] "UninstallString"="\"C:\\Programme\\Video ActiveX Object\\pmuninst.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object] "DisplayName"="Video ActiveX Object 2.07" "UninstallString"="C:\\Programme\\Video ActiveX Object\\uninst.exe" "DisplayIcon"="C:\\Programme\\Video ActiveX Object\\uninst.exe" "Publisher"="Video ActiveX Object Software" [HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Internet Security] "Path"="C:\\Programme\\Video ActiveX Object" [HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\Video ActiveX Object\\pmsngr.exe"="pmsngr" ; End Of The Log... ________________________ C:\Programme\Video ActiveX Object (23.12.2006 20:19:57) |
|
|
|
|
|
|
26.12.2006, 13:19
Ehrenmitglied
Beiträge: 29434 |
#4
hidden
«« http://virus-protect.org/artikel/tools/agentransack.html kopiere in Suche: VirusRescue und poste hier , was erscheint ! ------------------------------------------------------------------- «« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« poste hier das log vom avenger, was nach neustart erscheinen wird «« scanne mit smitfraud.fix - Option 1 und 2 - lasse auch die Registry mitreinigen http://virus-protect.org/artikel/tools/smitfrautfix.html _________ Information: virusrescue http://virus-protect.org/artikel/spyware/virusrescue_remove.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.12.2006, 02:02
...neu hier
Themenstarter Beiträge: 5 |
#5
C:\Dokumente und Einstellungen\David\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24)
C:\Dokumente und Einstellungen\David\Desktop\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24) C:\Dokumente und Einstellungen\David\Startmenü\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24) C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue (23.12.2006 20:28:25) C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue\VirusRescue v3.0.2 Un-Installer.lnk (1 KB, 23.12.2006 20:28:25) C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue\VirusRescue v3.0.2 Website.lnk (1 KB, 23.12.2006 20:28:25) C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24) C:\Programme\VirusRescue (24.12.2006 20:01:13) C:\Programme\VirusRescue\VirusRescue.exe (2008 KB, 09.11.2006 15:10:08) C:\Programme\VirusRescue\VirusRescue.tlb (2 KB, 08.08.2006 12:16:26) C:\Programme\VirusRescue\VirusRescue.url (1 KB, 23.12.2006 20:28:25) C:\WINDOWS\Prefetch\VIRUSRESCUE.EXE-1EA96EB1.pf (21 KB, 24.12.2006 16:57:30) ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: could not create zip file. Error code: 0 Ich habe es einmal durchlaufen lassen, da kam zwischendurch eine Fehlermeldung "Aenderung verweigert", aber ich kann nicht mehr sagen von was  Das logfile wurde nach dem Neustart auch nicht angezeigt und bei jedem neuen Versuch erscheint die Fehlermeldung das kein file erstellt werden kann.
|
|
|
|
|
|
|
27.12.2006, 12:21
Ehrenmitglied
Beiträge: 29434 |
#6
hidden
noch mal (ich habe editiert) «« Input script manually (anhaken) «« die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) »» oberes avengerscript reinkopieren - ohne "Zitat" !!!! «« Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten »» poste das log, was erscheint »» scanne mit smitfraudfix ________________ dann kopiere noch mal die drei Begriffe (siehe oben) ein in Registry Search, um zu sehen, was geloescht wurde und was nicht __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Scan saved at 11:40:03, on 24.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\WINDOWS\system32\IDispChg.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VirusRescue\vrsvc.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\VirusRescue\VirusRescue.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\VirusRescue\VirusRescue.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Dokumente und Einstellungen\David\Desktop\Pet Guardian v1.4\Pet Guardian.exe
C:\WINDOWS\DitExp.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsavgui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\David\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VirusRescue] C:\Programme\VirusRescue\VirusRescue.exe /s
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Pet Guardian.lnk = C:\Dokumente und Einstellungen\David\Desktop\Pet Guardian v1.4\Pet Guardian.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {8D4C647D-9244-48D8-B135-906354B64B61} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4193816F-EC8F-46A8-97C7-72B93C4A2E20}: NameServer = 195.186.1.107 195.186.4.107
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: IDispChg Service (IDispChgService) - Unknown owner - C:\WINDOWS\system32\IDispChg.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: vrsvc - Unknown owner - C:\Programme\VirusRescue\vrsvc.exe
2. cleanup wie angegeben durchgefuehrt.
David - 06-12-24 11:58:46.30 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\David"
((((((((((((((((((((((((((((((( Files Created from 2006-11-24 to 2006-12-24 ))))))))))))))))))))))))))))))))))
2006-12-24 11:48 <DIR> d-------- C:\Programme\CleanUp!
2006-12-23 20:52 <DIR> d-------- C:\WINDOWS\network diagnostic
2006-12-23 20:28 <DIR> d-------- C:\Programme\VirusRescue
2006-12-23 20:20 <DIR> d-------- C:\Programme\AntiVermins
2006-12-23 20:19 20,992 --a------ C:\WINDOWS\system32\cthkpcv.dll
2006-12-23 20:19 <DIR> d-------- C:\Programme\Video ActiveX Object
2006-12-19 16:39 <DIR> d-------- C:\Programme\Dofus
2006-12-17 13:09 <DIR> d---s---- C:\Dokumente und Einstellungen\David\UserData
2006-12-14 21:36 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\InterVideo
2006-12-09 21:16 36,734 --a------ C:\WINDOWS\system32\OggDSuninst.exe
2006-12-09 21:12 <DIR> d-------- C:\Programme\illiminable
2006-11-28 20:30 129,784 --------- C:\WINDOWS\system32\pxafs.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-12-24 11:51 -------- d-------- C:\Programme\Opera
2006-12-23 20:53 -------- d-------- C:\Programme\Internet Explorer
2006-12-21 19:41 -------- d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\ChessBase
2006-12-15 03:13 -------- d-------- C:\Programme\Outlook Express
2006-12-11 07:32 -------- d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\Azureus
2006-12-08 23:25 -------- d-------- C:\Programme\Zoom Player
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-02 11:13 -------- d-------- C:\Programme\Windows Media Player
2006-11-29 23:22 -------- d-------- C:\Programme\Wecker6
2006-11-28 20:30 -------- d-------- C:\Programme\Winamp
2006-11-12 02:12 -------- d-------- C:\Programme\Spybot - Search & Destroy
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"00THotkey"="C:\\WINDOWS\\system32\\00THotkey.exe"
"000StTHK"="000StTHK.exe"
"TFNF5"="TFNF5.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"SigmaTel StacMon"="C:\\Programme\\SigmaTel\\SigmaTel AC97 Audio-Treiber\\stacmon.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"TouchED"="C:\\Programme\\TOSHIBA\\TouchED\\TouchED.Exe"
"PadTouch"="\"C:\\Programme\\TOSHIBA\\PadTouch\\PadExe.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"TPSMain"="TPSMain.exe"
"TFncKy"="TFncKy.exe"
"NDSTray.exe"="NDSTray.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"VirtualCloneDrive"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"iTunesHelper"="C:\\Programme\\iTunes\\iTunesHelper.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Dit"="Dit.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"F-Secure Manager"="\"C:\\Programme\\F-Secure Anti-Virus\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\Programme\\F-Secure Anti-Virus\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"F-Secure Startup Wizard"="\"C:\\Programme\\F-Secure Anti-Virus\\FSGUI\\FSSW.EXE\" /reboot"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"VirusRescue"="C:\\Programme\\VirusRescue\\VirusRescue.exe /s"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,c0
"OriginalStateInfo"=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
00,00,04,00,00,c0
"RestoredStateInfo"=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}"="buprestidae"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Scheduled scanning task.job
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\WebReg 20050802232452.job
Completion time: 06-12-24 11:59:45.68
C:\ComboFix.txt ... 06-12-24 11:59
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-8FD3
Verzeichnis von C:\WINDOWS\system32
24.12.2006 11:54 1'158 wpa.dbl
23.12.2006 20:19 20'992 cthkpcv.dll
09.12.2006 21:16 36'734 OggDSuninst.exe
08.12.2006 00:13 10'716'584 MRT.exe
07.12.2006 06:29 2'374'472 wmvcore.dll
6. Probleme
Nach der Meldung habe ich Spybot Search & Destroy laufen lassen, was jedesmal zu einem automatischen Abschalten des Laptops gefuehrt hat. F-Secure findet zwar "Trojan.win32.agent.rx" aber er kann sie nur umbennen und nicht entfernen.