Home » Viren, Trojaner & Malware Forum » idd**.tmp.exe / win**.tmp.exe » Themenansicht

idd**.tmp.exe / win**.tmp.exe
#0
19.01.2007, 14:53
Shakagra
...neu hier

Beiträge: 1
#1 die tage eingefangen....

Jotti meint zu der datei:

Zitat

AntiVir DIAL/7168.A.10 dialer gefunden
ArcaVir Dialer.Porn-IM gefunden
Avast Keine Viren gefunden
AVG Antivirus Dialer.CGY gefunden
BitDefender Dialer.Porn.Y gefunden
ClamAV Keine Viren gefunden
Dr.Web Dialer.Questo gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus not-a-virus:Porn-Dialer.Win32.IDialer.m (5, 1, 500) gefunden
Fortinet Dial/305 gefunden
Kaspersky Anti-Virus not-a-virus:Porn-Dialer.Win32.IDialer.m gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/Dialer.BBXF gefunden
VirusBuster Keine Viren gefunden
VBA32 Porn-Dialer.Win32.IDialer.m gefunden
1. Hijackthis-Logfile:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 07:34:25, on 19.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\PTBSync\PTBSync.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Acrobat\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
F:\Programme\Acrobat\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
F:\Programme\Acrobat\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\TEMP\win19.tmp.exe
C:\WINDOWS\TEMP\idd1A.tmp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Version Cue CS2] F:\Programme\Acrobat\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Programme\Acrobat\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AcronisPop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - F:\PROGRA~1\AVRONI~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - F:\PROGRA~1\AVRONI~1\Blocker.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {20AA2291-A548-413B-BE7C-7CD310CA0E26} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {20AA2291-A548-413B-BE7C-7CD310CA0E26} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdn32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - F:\Programme\Acrobat\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Lineguard-Service - SCIcom - C:\Programme\Lineguard\lgService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\ProcessActivityMonitor\paamsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
2. CleanUp ausgeführt.
Nach Abmelden-Login:
Windows wurde nach einem schweren Fehler wieder ausgeführt. (sinngemäß)
Detail:

Zitat

C:\DOKUME~1\Jan\LOKALE~1\Temp\WER7e08.dir00\Mini121606-01.dmp
C:\DOKUME~1\Jan\LOKALE~1\Temp\WER7e08.dir00\sysdata.xml
3. Combofix ausgeführt.

Zitat

"Jan" - 07-01-19 14:27:49 Service Pack 2
ComboFix 07-01-18 - Running from: "C:\Dokumente und Einstellungen\Jan\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-12-19 to 2007-01-19 ))))))))))))))))))))))))))))))))))


2007-01-19 07:12 277,044 ---hs---- C:\WINDOWS\system32\jkkji.dll
2007-01-19 07:07 <DIR> d-------- C:\!KillBox
2007-01-18 17:10 22,029 ---hs---- C:\WINDOWS\system32\wvurspp.dll
2007-01-18 17:10 18,432 --a------ C:\WINDOWS\system32\winsfd32.dll
2007-01-18 10:04 <DIR> d-------- C:\Programme\JAM Software
2006-12-31 18:12 <DIR> d-------- C:\audiograbber


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-19 14:17 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\skype
2007-01-19 14:13 -------- d---s---- C:\Programme\xfire
2007-01-19 06:49 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\xfire
2007-01-19 01:11 -------- d-------- C:\Programme\dc++
2007-01-19 01:11 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\winedt
2007-01-19 00:20 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\azureus
2007-01-18 18:06 37350 --a------ C:\DOKUME~1\Jan\Anwendungsdaten\wklnhst.dat
2007-01-08 20:16 -------- d-------- C:\Programme\bridge builder
2006-12-23 09:03 -------- d-------- C:\Programme\trillian
2006-12-20 16:21 -------- d-------- C:\Programme\wc3banlist
2006-12-19 14:43 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\adobe
2006-12-17 13:05 -------- d-------- C:\Programme\wecker6
2006-12-17 13:05 -------- d-------- C:\Programme\t-dsl speedmanager
2006-12-17 13:05 -------- d-------- C:\Programme\quicken2005
2006-12-17 13:05 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2006-12-17 13:05 -------- d-------- C:\Programme\earthview
2006-12-17 12:53 -------- d-------- C:\Programme\tuneup utilities 2006
2006-12-17 12:53 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\tuneup software
2006-12-17 12:51 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-03 21:19 -------- d---s---- C:\DOKUME~1\Jan\Anwendungsdaten\microsoft
2006-11-30 22:58 -------- d-------- C:\Programme\winpcap
2006-11-24 07:47 -------- d-------- C:\Programme\ewock toolbar
2006-11-23 12:10 -------- d-------- C:\Programme\wertpapieranalyse_2004
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-05 22:42 40 ---hs---- C:\DOKUME~1\Jan\Anwendungsdaten\.zreglib


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2006\\MemOptimizer.exe\" autostart"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"PTBSync"="C:\\Programme\\PTBSync\\PTBSync.exe /Start"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"Adobe Version Cue CS2"="F:\\Programme\\Acrobat\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AnyDVD"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"
"Steam"="\"c:\\programme\\valve\\steam\\steam.exe\" -silent"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="\"F:\\Programme\\Acrobat\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\""
"Adobe Version Cue CS2"="\"F:\\Programme\\Acrobat\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"Lineguard"="C:\\Programme\\Lineguard\\lineguard.exe"
"SSBkgdUpdate"="C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe -Embedding -boot"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BlueSoleil.lnk"
"backup"="C:\\WINDOWS\\pss\\BlueSoleil.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\IVTCOR~1\\BLUESO~1\\BLUESO~1.EXE "
"item"="BlueSoleil"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\CAPIControl.lnk"
"backup"="C:\\WINDOWS\\pss\\CAPIControl.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Telekom\\EUMEX7~1\\Capictrl.exe "
"item"="CAPIControl"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HomeNet Control.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HomeNet Control.lnk"
"backup"="C:\\WINDOWS\\pss\\HomeNet Control.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Telekom\\EUMEX7~1\\HNetCtrl.exe "
"item"="HomeNet Control"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Quicken 2005 Zahlungserinnerung.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Quicken 2005 Zahlungserinnerung.lnk"
"backup"="C:\\WINDOWS\\pss\\Quicken 2005 Zahlungserinnerung.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\QUICKE~1\\billmind.exe "
"item"="Quicken 2005 Zahlungserinnerung"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="schedhlp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AGRSMMSG"
"hkey"="HKLM"
"command"="AGRSMMSG.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntivirusRegistration]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="EzAntivirusRegistrationCheck"
"hkey"="HKLM"
"command"="c:\\programme\\antivirus offer\\etrust antivirus registration\\EzAntivirusRegistrationCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AnyDVD"
"hkey"="HKLM"
"command"="\"F:\\Programme\\Slysof\\Any DVD2\\AnyDVD\\AnyDVD.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLMIcon"
"hkey"="HKCU"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOLSHARE\\AOLMIcon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ashDisp"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccApp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DevDetect"
"hkey"="HKLM"
"command"="DevDetect.exe -autorun"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Dit"
"hkey"="HKLM"
"command"="Dit.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Keyboard Status]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KeyStat"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\Medion\\KeyStat\\KeyStat.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Norton SystemWorks\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCMService"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realmon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyWare Shield]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Shield"
"hkey"="HKLM"
"command"="\"F:\\Programme\\Avronis Privacy Expert Suite\\Shield.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UsrPrmpt"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-DSL SpeedMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SpeedMgr"
"hkey"="HKLM"
"command"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ToADiMon"
"hkey"="HKLM"
"command"="C:\\Programme\\T-Online\\T-Online_Software_5\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"x10nets"=dword:00000003
"TSMService"=dword:00000003
"Symantec Core LC"=dword:00000003
"Speed Disk service"=dword:00000002
"SPBBCSvc"=dword:00000003
"SNDSrvc"=dword:00000003
"SBService"=dword:00000002
"SAVScan"=dword:00000003
"NProtectService"=dword:00000002
"NPFMntor"=dword:00000002
"Norton Ghost"=dword:00000002
"navapsvc"=dword:00000002
"InoRT"=dword:00000002
"InoRPC"=dword:00000002
"GEARSecurity"=dword:00000002
"CyberLink Media Library Service"=dword:00000002
"CLSched"=dword:00000002
"CLCapSvc"=dword:00000002
"ccSetMgr"=dword:00000002
"ccPwdSvc"=dword:00000003
"ccEvtMgr"=dword:00000002
"BlueSoleil Hid Service"=dword:00000002
"AcrSch2Svc"=dword:00000002

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B7BC5CCE-E6CE-43DB-B3E3-DA47DDDD4A5E}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source REG_SZ http://home.arcor.de/shakagra/IMGP0273.JPG

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkji
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsfd32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvurspp

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0f039ae1-8468-11d9-8a72-001109df9636}]
Shell\AutoRun\command L:\OEMBranding.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{176ebe7a-8522-11d9-8a7e-001109df94c7}]
Shell\AutoRun\command K:\OEMBranding.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b60dc10a-85ba-11d9-8a81-001109df94c7}]
Shell\AutoRun\command L:\OEMBranding.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 07-01-19 14:32:37
4. Logfiles
System32

Zitat

Verzeichnis von C:\WINDOWS\system32

19.01.2007 14:35 932 ijkkj.ini
19.01.2007 14:17 35.864 vsconfig.xml
19.01.2007 14:13 237.165 OODBS.lor
19.01.2007 07:12 277.044 jkkji.dll
18.01.2007 17:10 22.029 wvurspp.dll
18.01.2007 17:10 18.432 winsfd32.dll
18.01.2007 17:04 2.206 wpa.dbl
03.01.2007 00:19 10.980.776 MRT.exe
07.12.2006 07:40 2.362.184 wmvcore.dll
13.11.2006 00:36 3.002 CONFIG.NT
08.11.2006 11:06 365.712 FNTCACHE.DAT
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll
29.10.2006 17:27 376.162 perfh009.dat
29.10.2006 17:27 51.960 perfc009.dat
29.10.2006 17:27 386.678 perfh007.dat
29.10.2006 17:27 62.786 perfc007.dat
29.10.2006 17:27 886.968 PerfStringBackup.INI
23.10.2006 16:17 615.936 urlmon.dll
23.10.2006 16:17 474.624 shlwapi.dll
23.10.2006 16:17 1.494.528 shdocvw.dll
23.10.2006 16:17 664.576 wininet.dll
23.10.2006 16:17 146.432 msrating.dll
23.10.2006 16:17 39.424 pngfilt.dll
23.10.2006 16:17 448.512 mshtmled.dll
23.10.2006 16:17 532.480 mstime.dll
23.10.2006 16:17 3.076.096 mshtml.dll
23.10.2006 16:17 1.022.976 browseui.dll
23.10.2006 16:17 96.768 inseng.dll
23.10.2006 16:17 1.056.256 danim.dll
23.10.2006 16:17 251.392 iepeers.dll
23.10.2006 16:17 205.312 dxtrans.dll
23.10.2006 16:17 357.888 dxtmsft.dll
23.10.2006 16:17 55.808 extmgr.dll
23.10.2006 16:17 152.064 cdfview.dll
23.10.2006 16:17 16.384 jsproxy.dll
23.10.2006 12:42 123.392 xpsp3res.dll
20.10.2006 02:38 715.776 sxs.dll
13.10.2006 13:35 146.432 nwprovau.dll
12.10.2006 09:40 716.800 SysInternals Bluescreen.scr
Systemtemp

Zitat

Verzeichnis von C:\DOKUME~1\Jan\LOKALE~1\Temp

19.01.2007 14:26 16.384 ~DF17C9.tmp
19.01.2007 14:26 16.384 ~DF702C.tmp
19.01.2007 14:26 512 ~DF7188.tmp
19.01.2007 14:26 2.998.272 ~DF987E.tmp
19.01.2007 14:25 16.384 Perflib_Perfdata_dd4.dat
5 Datei(en) 3.047.936 Bytes
0 Verzeichnis(se), 5.734.146.048 Bytes frei
system

Zitat

Verzeichnis von C:\WINDOWS

19.01.2007 14:18 1.886.577 WindowsUpdate.log
19.01.2007 14:16 0 0.log
19.01.2007 14:16 6.104 ModemLog_Bluetooth DUN Modem.txt
19.01.2007 14:16 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
19.01.2007 14:16 2.020 ModemLog_Bluetooth Fax Modem.txt
19.01.2007 14:15 159 wiadebug.log
19.01.2007 14:15 50 wiaservc.log
19.01.2007 14:14 2.048 bootstat.dat
19.01.2007 08:11 32.544 SchedLgU.Txt
19.01.2007 07:55 155 winamp.ini
18.01.2007 22:06 933 win.ini
18.01.2007 10:20 73 EurekaLog.ini
17.01.2007 21:10 116 NeroDigital.ini
17.01.2007 09:38 1.409 QTFont.for
17.01.2007 09:38 54.156 QTFont.qfn
10.01.2007 00:42 743.167 setupapi.log
10.01.2007 00:42 88.914 iis6.log
10.01.2007 00:42 179.312 comsetup.log
10.01.2007 00:42 111.500 ntdtcsetup.log
10.01.2007 00:42 1.374 imsins.log
10.01.2007 00:42 30.686 ocmsn.log
10.01.2007 00:42 221.691 tsoc.log
10.01.2007 00:42 10.555 KB929969.log
10.01.2007 00:42 281.732 ocgen.log
10.01.2007 00:42 28.005 msgsocm.log
10.01.2007 00:42 540.808 FaxSetup.log
09.01.2007 22:26 83.867 wmsetup.log
03.01.2007 16:39 6.645 setupact.log
02.01.2007 03:11 1.179 ie7_main.log
31.12.2006 19:09 59 cdplayer.ini
17.12.2006 05:03 1.393 imsins.BAK
17.12.2006 05:03 17.909 KB925454.log
17.12.2006 05:03 50.065 updspapi.log
17.12.2006 05:03 13.608 KB925398.log
17.12.2006 05:02 14.663 KB923689.log
17.12.2006 05:01 11.206 KB926255.log
17.12.2006 05:01 11.035 KB923694.log
23.11.2006 12:10 1.896 QUICKEN.INI
18.11.2006 07:08 15.945 KB923980.log
18.11.2006 07:08 15.965 KB924270.log
18.11.2006 07:07 15.155 KB920213.log
18.11.2006 07:07 17.331 KB922760.log
31.10.2006 19:21 32 wininit.ini
14.10.2006 04:39 13.602 KB924191.log
14.10.2006 04:39 13.205 KB922819.log
14.10.2006 04:39 11.418 KB923414.log
14.10.2006 04:39 11.412 KB924496.log
14.10.2006 04:39 8.781 KB923191.log
13.10.2006 16:13 17.630 War3Unin.dat
13.10.2006 15:53 2.829 War3Unin.pif
13.10.2006 15:53 126.976 War3Unin.exe
08.10.2006 17:10 4.602 ModemLog_Sony Ericsson W800 USB WMC Modem.txt
08.10.2006 17:10 2.046 ModemLog_Sony Ericsson W800 USB WMC Data Modem.txt
02.10.2006 16:04 0 Classic.INI
tmp

Zitat

Verzeichnis von C:\WINDOWS\Temp

19.01.2007 14:15 256 ZLT070f0.TMP
19.01.2007 14:15 0 ib4
19.01.2007 14:15 0 ib3
19.01.2007 14:15 0 ib2
19.01.2007 14:15 16.384 Perflib_Perfdata_5b8.dat
down
nichts innerhalb der letzten 3 monate
sys

Zitat

Verzeichnis von C:\

19.01.2007 14:37 0 sys.txt
19.01.2007 14:37 641 down.txt
19.01.2007 14:37 453 tmp.txt
19.01.2007 14:36 12.135 system.txt
19.01.2007 14:36 490 systemtemp.txt
19.01.2007 14:35 111.293 system32.txt
19.01.2007 14:32 16.223 ComboFix.txt
19.01.2007 14:13 1.073.270.784 hiberfil.sys
19.01.2007 14:13 1.610.612.736 pagefile.sys
5. Beschreibung
idd**.tmp.exe sowie win**.tmp.exe dateien tauchen im verzeichnis C:\windows\temp auf. erstellen sich alle 10 minuten mit neuem dateinamen. handelt sich dabei um einen dialer.

Edit:
Hier noch die Daten von einem Scan mit Antivir. Hat mir außer einem vollen Quarantäne-Bereich aber nichts gebracht. Die Dateien, die er in der normalen Sitzung nicht löschen konnte, waren auch im abgesicherten Modus mit Admin-Login nicht wegzubekommen.

Zitat

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\!KillBox\idd1A.tmp
[FUND] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/7168.A.10 (Dialer)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4614d6f6.qua' verschoben!
C:\!KillBox\idd1A.tmp( 1)
[FUND] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/7168.A.10 (Dialer)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4614d6f9.qua' verschoben!
C:\!KillBox\win18.tmp
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.163
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461ed701.qua' verschoben!
C:\!KillBox\win18.tmp.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.163
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461ed704.qua' verschoben!
C:\Dokumente und Einstellungen\Jan\Desktop\DesktopPack18.12\Neuer Ordner\Weisseradler-Script_1.071.zip
[0] Archivtyp: ZIP
--> Weisseradler-Script 1.071/Moo.dll
[FUND] Enthält Signatur der Anwendung APPL/Motherb
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4619d7a7.qua' verschoben!
C:\Dokumente und Einstellungen\Jan\Desktop\DesktopPack18.12\Neuer Ordner\Weisseradler-Script_1.071\Weisseradler-Script 1.071\Moo.dll
[FUND] Enthält Signatur der Anwendung APPL/Motherb
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461fd7bb.qua' verschoben!
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6LTEJUPS\srvzfr[1].exe
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.163
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4626d9e1.qua' verschoben!
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NE03ZT0L\srvgzn[1].exe
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.163
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4626d9f1.qua' verschoben!
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UF0LC98V\srvjjk[1].exe
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.163
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4626d9f6.qua' verschoben!
C:\mIRC\Moo.dll
[FUND] Enthält Signatur der Anwendung APPL/Motherb
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461fd9fe.qua' verschoben!
C:\RECYCLER\S-1-5-21-207264320-825180125-1079866622-1008\Dc1.exe
[FUND] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/7168.A.10 (Dialer)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e1df7d.qua' verschoben!
C:\RECYCLER\S-1-5-21-207264320-825180125-1079866622-1008\Dc2.exe
[FUND] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/7168.A.10 (Dialer)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e2df80.qua' verschoben!
C:\RECYCLER\S-1-5-21-207264320-825180125-1079866622-1008\Dc3.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.163
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e3df81.qua' verschoben!
C:\WINDOWS\system32\jkkji.dll
[FUND] Enthält verdächtigen Code: HEUR/Malware
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\winsfd32.dll
[FUND] Enthält verdächtigen Code: HEUR/Malware
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd4861.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\idd5.tmp.exe
[FUND] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/7168.A.10 (Dialer)
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\win4.tmp.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.163
[WARNUNG] Die Datei konnte nicht gelöscht werden!


Ende des Suchlaufs: Freitag, 19. Januar 2007 16:20
Benötigte Zeit: 48:19 min

Der Suchlauf wurde vollständig durchgeführt.
Ich bin ratlos... Antivir erkennt zwar die Dialer und einige andere Daten, kann aber scheinbar nichts unternehmen. Ich bin als Laie mit meinem Latein mehr als am Ende.
Dieser Beitrag wurde am 19.01.2007 um 17:30 Uhr von Shakagra editiert.
Seitenanfang Seitenende
20.01.2007, 00:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkji
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsfd32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvurspp

Files to delete:
C:\WINDOWS\system32\jkkji.dll
C:\WINDOWS\system32\ijkkj.ini
C:\WINDOWS\system32\wvurspp.dll
C:\WINDOWS\system32\winsfd32.dll
C:\WINDOWS\Temp\win4.tmp.exe
C:\WINDOWS\Temp\idd5.tmp.exe
C:\WINDOWS\TEMP\win19.tmp.exe
C:\WINDOWS\TEMP\idd1A.tmp.exe
C:\WINDOWS\Temp\ib4
C:\WINDOWS\Temp\ib3
C:\WINDOWS\Temp\ib2

Folders to delete:
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UF0LC98V
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NE03ZT0L
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6LTEJUPS
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

»»
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

--------


_____

http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2007, 17:00
Zenk
...neu hier

Beiträge: 4
#3 Hallo
Ich habe ein ähnliches problem mit den temporären Datein:
aller 10-20 min kommt von BitDefender eine Virus bzw. Spywarewarnung wegen einer datei im einem temporären Ordner: TEmporary Internet Files oder WINDOWS/Temp.

Virescan von Bitdefender sagt mir nur den Namen "Dialer.Porn.P","Dialer.Porn.Y"
und manchmal einen variierenden registry key
Beides kann aber laut "Bitdefender 9 Professional Plus " nicht desinfiziert werden.
ich hab sie schon x mal löschen lassen aber sie kommen immer wieder.leider
da ich in solchen fällen keinerlei Erfahrung aufweise bin auf die Hilfe von euch angewiesen, damit ich es beim (hoffentlich nicht eintretenden) nächsten mal besser machen kann.
ergebniss von Hijackthis im anhang
Bitdefender:

Zitat

//-----------------------------------------------------------------
//
// Product: BitDefender 9 Professional Plus
// Version: 9.5
//
// Erstellt am: 30/01/2007 16:26:04
//
//-----------------------------------------------------------------


Statistik

Pfad : C:\Dokumente und Einstellungen
C:\WINDOWS
Ordner : 3532
Dateien : 130719
Archive : 1403
Komprimierte Dateien : 9237
Erkannte Viren : 3
Infizierte Dateien : 8
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 8
Umbenannte Dateien : 0
I/O Fehler : 27
Prüfzeit : 00:32:32
Prüfgeschwindigkeit (Dateien/Sekunde) : 66

Spyware Statistiken

Geprüfte Speicher-Prozesse: 42
Infizierte Speicher-Prozesse: 0
Geprüste Registrierungsschlüssel: 1895
Infizierte Registrierungsschlüssel: 0
Geprüfte Cookies: 8
Infizierte Cookies: 0
Infizierte Spyware-Dateien: 0
Erkannte Spyware-Prozesse: 0


Virusdefinitionen : 425860
Scan Plug-Ins : 16
Archiv Plug-Ins : 41
Archiv Plug-Ins : 6
E-Mail Plug-Ins : 6
System Plug-Ins : 5

Prüf-Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüf-Optionen
[X] Warnungen aktiviert
[X] Heuristik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: C:\Programme\Softwin\BitDefender9\Logs\vscan_1170170763.log

Prüfoptionen für Spyware

[X] Speicher-Prozesse
[X] Registrierungsschlüssel
[X] Cookies


Zusammenfassung:

C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IY7MW3M3\srvjcm[1].exe Entdeckt: Dialer.Porn.P
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IY7MW3M3\srvjcm[1].exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IY7MW3M3\srvjcm[1].exe Verschoben
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O74F2HMZ\srvpwo[1].exe Entdeckt: Dialer.Porn.P
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O74F2HMZ\srvpwo[1].exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O74F2HMZ\srvpwo[1].exe Verschoben
C:\WINDOWS\Temp\iddD21.tmp.exe Entdeckt: Dialer.Porn.Y
C:\WINDOWS\Temp\iddD21.tmp.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\Temp\iddD21.tmp.exe Verschoben
C:\WINDOWS\Temp\iddD28.tmp.exe Entdeckt: Dialer.Porn.Y
C:\WINDOWS\Temp\iddD28.tmp.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\Temp\iddD28.tmp.exe Verschoben
C:\WINDOWS\Temp\iddD2C.tmp.exe Entdeckt: Dialer.Porn.Y
C:\WINDOWS\Temp\iddD2C.tmp.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\Temp\iddD2C.tmp.exe Verschoben
C:\WINDOWS\Temp\winD20.tmp.exe Entdeckt: Dialer.Porn.P
C:\WINDOWS\Temp\winD20.tmp.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\Temp\winD20.tmp.exe Verschoben
C:\WINDOWS\Temp\winD27.tmp.exe Entdeckt: Dialer.Porn.P
C:\WINDOWS\Temp\winD27.tmp.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\Temp\winD27.tmp.exe Verschoben
C:\WINDOWS\Temp\winD2B.tmp.exe Entdeckt: Dialer.Porn.P
C:\WINDOWS\Temp\winD2B.tmp.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\Temp\winD2B.tmp.exe Verschoben
Bitte Helft Mir
Wenn jemand noch weitere Informationen braucht, dann melde er/sie sich bitt an "Zenk_Life_2@xemail.de" oder per icq an 399139108

Ihc hoffe ihr könnt mir aus der patsche helfen
Danke


mfg
Zenk

Hier die File von Combofix:

Zitat

"user1" - 07-01-30 17:29:05 Service Pack 2
ComboFix 07.01.30 - Running from: "C:\Dokumente und Einstellungen\user1\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2006-12-30 to 2007-01-30 ))))))))))))))))))))))))))))))))))


2007-01-29 15:57 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-01-27 12:03 <DIR> d-------- C:\DOKUME~1\user1\Anwendungsdaten\Lingo4u
2007-01-24 19:59 <DIR> d-------- C:\avenger
2007-01-24 19:46 <DIR> d-------- C:\Programme\a-squared Anti-Dialer
2007-01-21 15:11 231,936 --a------ C:\WINDOWS\system32\SNWValid.dll
2007-01-21 15:11 1,022,976 --a------ C:\WINDOWS\system32\SierraNW.dll
2007-01-21 15:11 <DIR> d-------- C:\Programme\Sierra On-Line
2007-01-20 12:26 19,456 --a------ C:\WINDOWS\system32\winrvc32.dll
2007-01-18 14:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-01-18 14:11 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-01-18 14:09 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2007-01-18 14:09 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2007-01-18 14:09 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2007-01-18 14:09 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2007-01-18 14:09 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2007-01-18 14:09 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-30 16:54 -------- d-------- C:\Programme\hijackthis
2007-01-30 16:53 -------- d-------- C:\Programme\mozilla firefox
2007-01-29 15:46 -------- d-------- C:\Programme\winamp
2007-01-29 15:43 -------- d-------- C:\Programme\t@b
2007-01-20 13:01 -------- d-------- C:\Programme\ascomp software
2007-01-19 20:43 -------- d-------- C:\Programme\ea games
2007-01-19 18:56 -------- d-------- C:\Programme\artmoney
2007-01-18 14:15 -------- d-------- C:\Programme\hp
2007-01-16 17:10 -------- d-------- C:\Programme\lateinbersetzer
2007-01-16 15:37 -------- d-------- C:\Programme\spy sweeper
2006-12-25 09:27 -------- d-------- C:\DOKUME~1\user1\Anwendungsdaten\fltk.org
2006-12-24 21:02 -------- d-------- C:\Programme\philips
2006-12-24 20:55 -------- d--h----- C:\Programme\installshield installation information
2006-12-21 16:06 -------- d-------- C:\Programme\pinnacle
2006-12-18 17:02 -------- d-------- C:\DOKUME~1\user1\Anwendungsdaten\hp
2006-12-18 17:01 -------- d-------- C:\Programme\Gemeinsame Dateien\hp
2006-12-18 17:00 -------- d-------- C:\Programme\hewlett-packard
2006-12-13 14:27 -------- d-------- C:\DOKUME~1\user1\Anwendungsdaten\google
2006-12-08 16:29 -------- d-------- C:\Programme\google
2006-12-08 16:24 -------- d-------- C:\DOKUME~1\user1\Anwendungsdaten\icq toolbar
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-02 18:22 3350 --ahs---- C:\WINDOWS\system32\kgygaavl.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IconSaver"="C:\\Programme\\IconSaver\\IconSaver.exe"
"Logitech Utility"="Logi_MwX.Exe"
"BDMCon"="c:\\PROGRA~1\\softwin\\BITDEF~1\\bdmcon.exe"
"BDOESRV"="\"C:\\Programme\\Softwin\\BitDefender9\\bdoesrv.exe\""
"BDNewsAgent"="\"C:\\PROGRA~1\\softwin\\BITDEF~1\\bdnagent.exe\""
"BDSwitchAgent"="\"C:\\PROGRA~1\\softwin\\BITDEF~1\\bdswitch.exe\""
"mmtask"="\"C:\\Programme\\Musicmatch\\Musicmatch Jukebox\\mmtask.exe\""
"ooccctrl.exe"="C:\\Programme\\OO Software\\CleverCache\\ooccctrl.exe /tasktray"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe\" -startup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="sockspy.dll"


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrvc32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\R]
Shell\AutoRun\command R:\AUTORUN.EXE

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\S]
Shell\AutoRun\command S:\Autorun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\T]
Shell\AutoRun\command T:\RunGame.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\U]
Shell\AutoRun\command U:\Autorun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\V]
Shell\AutoRun\command V:\setup.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\W]
Shell\AutoRun\command W:\autorun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a6870a50-a20e-11d9-ad5d-806d6172696f}]
Shell\AutoRun\command K:\AUTORUN.EXE

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b95996e0-a167-11d9-a6e3-806d6172696f}]
Shell\AutoRun\command L:\Autorun.exe



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070125-155203-115
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme-2\ICQToolbar\tbu18\toolbaru.dll
backup-20070125-155202-776
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
backup-20070125-155203-382
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
backup-20070125-155202-336
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme-2\ICQToolbar\tbu18\toolbaru.dll
backup-20070125-155202-941
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme-2\ICQToolbar\tbu18\toolbaru.dll
backup-20070125-155202-223
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
backup-20070125-155202-371
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
backup-20060610-012030-131
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
backup-20060610-012030-946
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Spy Sweeper\WRSSSDK.exe
backup-20060610-012030-189
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
backup-20060610-012030-901
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
backup-20060610-012030-523
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\WebReg psc 1400 series.job

Completion time: 07-01-30 17:34:00
system32.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\WINDOWS\system32

30.01.2007 17:42 81.984 bdod.bin
30.01.2007 17:26 329.703 OODBS.lor
30.01.2007 15:58 63 getfile.dat
29.01.2007 15:31 2.262 wpa.dbl
20.01.2007 12:26 19.456 winrvc32.dll
19.01.2007 18:00 403.968 perfh009.dat
19.01.2007 18:00 63.188 perfc009.dat
19.01.2007 18:00 418.970 perfh007.dat
19.01.2007 18:00 76.014 perfc007.dat
19.01.2007 18:00 967.348 PerfStringBackup.INI
03.01.2007 00:19 10.980.776 MRT.exe
24.12.2006 20:58 16.832 amcompat.tlb
24.12.2006 20:58 23.392 nscompat.tlb
21.12.2006 16:26 317.952 FNTCACHE.DAT
07.12.2006 06:29 2.374.472 wmvcore.dll
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll
02.11.2006 18:22 3.350 KGyGaAvL.sys
26.10.2006 14:08 40.960 frapsvid.dll
23.10.2006 16:17 474.624 shlwapi.dll
23.10.2006 16:17 1.494.528 shdocvw.dll
23.10.2006 16:17 615.936 urlmon.dll
23.10.2006 16:17 664.576 wininet.dll
23.10.2006 16:17 39.424 pngfilt.dll
23.10.2006 16:17 3.076.096 mshtml.dll
23.10.2006 16:17 448.512 mshtmled.dll
23.10.2006 16:17 532.480 mstime.dll
23.10.2006 16:17 146.432 msrating.dll
23.10.2006 16:17 357.888 dxtmsft.dll
23.10.2006 16:17 152.064 cdfview.dll
23.10.2006 16:17 16.384 jsproxy.dll
23.10.2006 16:17 55.808 extmgr.dll
23.10.2006 16:17 251.392 iepeers.dll
23.10.2006 16:17 205.312 dxtrans.dll
23.10.2006 16:17 96.768 inseng.dll
23.10.2006 16:17 1.056.256 danim.dll
23.10.2006 16:17 1.022.976 browseui.dll
23.10.2006 12:42 123.392 xpsp3res.dll
20.10.2006 02:38 715.776 sxs.dll
16.10.2006 18:55 53.248 unrar.dll
13.10.2006 13:35 65.536 nwwks.dll
13.10.2006 13:35 146.432 nwprovau.dll
13.10.2006 13:35 64.000 nwapi32.dll
system.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\WINDOWS

30.01.2007 17:43 8.218 ModemLog_SoftV92 Data Fax Modem.txt
30.01.2007 17:27 1.904.826 WindowsUpdate.log
30.01.2007 17:27 237 wiadebug.log
30.01.2007 17:26 50 wiaservc.log
30.01.2007 17:26 0 0.log
30.01.2007 17:26 2.048 bootstat.dat
30.01.2007 17:25 32.616 SchedLgU.Txt
30.01.2007 15:58 2.694 win.ini
29.01.2007 15:42 141 SIERRA.INI
28.01.2007 13:08 69 NeroDigital.ini
21.01.2007 08:23 187.414 setupact.log
20.01.2007 20:42 266.551 DirectX.log
18.01.2007 14:16 113.592 hpoins07.dat
18.01.2007 14:12 278.321 setupapi.log
16.01.2007 15:58 4.363 ie7_main.log
12.01.2007 13:39 756.336 iis6.log
12.01.2007 13:39 233.156 comsetup.log
12.01.2007 13:39 139.900 ntdtcsetup.log
12.01.2007 13:39 310.983 tsoc.log
12.01.2007 13:39 1.374 imsins.log
12.01.2007 13:39 34.685 tabletoc.log
12.01.2007 13:39 37.264 ocmsn.log
12.01.2007 13:39 10.556 KB929969.log
12.01.2007 13:39 118.097 netfxocm.log
12.01.2007 13:39 48.680 MedCtrOC.log
12.01.2007 13:39 326.688 ocgen.log
12.01.2007 13:39 33.795 msgsocm.log
12.01.2007 13:39 667.460 FaxSetup.log
12.01.2007 13:39 209.594 msmqinst.log
06.01.2007 17:33 1.383 GTA-SA_Trn_Settings.ini
03.01.2007 19:58 871 WINNT32.LOG
03.01.2007 19:58 225 DHCPUPG.LOG
03.01.2007 19:58 149 wsdu.log
03.01.2007 19:58 1.891 imsins.BAK
28.12.2006 14:26 39.616 spupdsvc.log
28.12.2006 09:59 17.540 KB917734.log
28.12.2006 09:59 122.609 wmsetup.log
26.12.2006 09:57 21.717 KB923689.log
24.12.2006 20:59 461 wmsetup10.log
24.12.2006 20:57 316.640 WMSysPr9.prx
24.12.2006 11:20 0 zSpy.INI
21.12.2006 16:12 19 PatchInstall1Debug.log
21.12.2006 16:11 19 Studio10_BonusDVD.log
21.12.2006 16:09 19 install_Studio10.log
21.12.2006 16:08 1.196 VFO.INI
19.12.2006 19:25 17.747 KB925454.log
19.12.2006 19:25 57.210 updspapi.log
19.12.2006 15:29 9.588 KB925398.log
19.12.2006 15:28 10.989 KB923694.log
18.12.2006 17:01 79.754 hpfins05.dat
17.12.2006 20:02 11.368 KB926255.log
17.12.2006 20:00 358 KTEL.INI
01.12.2006 06:33 231 system.ini
01.12.2006 06:29 5.652 mozver.dat
21.11.2006 14:20 16.798 KB923980.log
21.11.2006 14:20 16.539 KB924270.log
21.11.2006 14:16 15.552 KB920213.log
21.11.2006 14:15 18.037 KB922760.log
18.11.2006 13:02 870 Rtcw.INI
29.10.2006 10:00 235 winamp.ini
19.10.2006 08:06 13.603 KB924191.log
19.10.2006 08:05 13.235 KB922819.log
19.10.2006 08:05 11.422 KB923414.log
19.10.2006 08:05 11.446 KB924496.log
19.10.2006 08:05 9.230 KB923191.log
systemtemp.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\DOKUME~1\user1\LOKALE~1\Temp

30.01.2007 17:27 16.384 Perflib_Perfdata_384.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 10.836.537.344 Bytes frei
tmp.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\WINDOWS\Temp

30.01.2007 17:44 0 win9.tmp
30.01.2007 17:42 0 win8.tmp
30.01.2007 17:40 0 win7.tmp
30.01.2007 17:38 0 win6.tmp
30.01.2007 17:17 7.168 iddD2E.tmp.exe
30.01.2007 17:17 35.840 winD2D.tmp.exe
6 Datei(en) 43.008 Bytes
0 Verzeichnis(se), 10.836.520.960 Bytes frei
down.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.12.2005 11:55 5.101 swflash.inf
11.08.2005 16:30 417.792 isusweb.dll
29.06.2005 17:17 227 opuc.inf
26.05.2005 04:19 293 muweb.inf
26.05.2005 03:19 291 wuweb.inf
24.12.2004 14:05 65 desktop.ini
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
8 Datei(en) 644.953 Bytes
0 Verzeichnis(se), 10.836.520.960 Bytes frei
sys.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\

30.01.2007 17:47 0 sys.txt
30.01.2007 17:46 628 down.txt
30.01.2007 17:46 509 tmp.txt
30.01.2007 17:44 14.373 system.txt
30.01.2007 17:44 299 systemtemp.txt
30.01.2007 17:43 112.137 system32.txt
30.01.2007 17:34 8.859 ComboFix.txt
30.01.2007 17:26 2.097.152.000 pagefile.sys
30.01.2007 17:26 536.399.872 hiberfil.sys
28.01.2007 11:45 16 SYSBOOT.DAT
24.01.2007 19:59 9.026 avenger.txt
12.01.2007 15:59 279 default.set
03.09.2006 10:59 216 DebugTrace-RockallDLL.log
29.08.2006 14:49 0 logwmemory.bin
06.05.2006 22:37 389 boot.ini
12.02.2006 15:03 87 AUTOEXEC.BAT
24.12.2004 14:06 0 IO.SYS
24.12.2004 14:06 0 CONFIG.SYS
24.12.2004 14:06 0 MSDOS.SYS
31.12.2002 13:00 4.952 bootfont.bin
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 251.184 ntldr
22 Datei(en) 2.634.002.390 Bytes
0 Verzeichnis(se), 10.836.480.000 Bytes frei
so das waren die ausschnitte der letzten 3 monate
ich hoffe es hilft.

Anhang: hijackthis.txt
Dieser Beitrag wurde am 30.01.2007 um 17:43 Uhr von Zenk editiert.
Seitenanfang Seitenende
31.01.2007, 01:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Zenk

_____

http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2007, 15:42
Zenk
...neu hier

Beiträge: 4
#5 Hier is die report.txt von SDfix

Zitat

SDFix: Version 1.63

31.01.2007 - 15:35:16,28

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\config.exe - Deleted
C:\WINDOWS\Temp\win*.tmp - Deleted

Could Not Remove C:\WINDOWS\Temp\idd13.tmp.exe
Could Not Remove C:\WINDOWS\Temp\idd1EF.tmp.exe
Could Not Remove C:\WINDOWS\Temp\idd22.tmp.exe
Could Not Remove C:\WINDOWS\Temp\iddA.tmp.exe
Could Not Remove C:\WINDOWS\Temp\iddD2E.tmp.exe
Could Not Remove C:\WINDOWS\Temp\winD2D.tmp.exe


ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Anti-Leech\\ALIE_1.0.1.6\\alhlp.exe"="C:\\Programme\\Anti-Leech\\ALIE_1.0.1.6\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program"
"C:\\Programme\\JtG\\DBox2.exe"="C:\\Programme\\JtG\\DBox2.exe:*:Enabled: "
"C:\\Programme\\JtG\\udrec.exe"="C:\\Programme\\JtG\\udrec.exe:*:Enabled: "
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"="C:\\Programme\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:Enabled:pMSRegisterFile"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi"
"C:\\Spiele\\Half Life 2\\hl2.exe"="C:\\Spiele\\Half Life 2\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"="C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime"
"C:\\Programme\\Apple\\iTunes\\iTunes.exe"="C:\\Programme\\Apple\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"D:\\Programme-2\\ICQLite\\ICQLite.exe"="D:\\Programme-2\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Spiele2\\Soldat\\Soldat.exe"="D:\\Spiele2\\Soldat\\Soldat.exe:*:Enabled:Soldat"
"D:\\Spiele2\\AOE-Gold\\EMPIRESX.EXE"="D:\\Spiele2\\AOE-Gold\\EMPIRESX.EXE:*:Enabled:Age of Empires, the Rise of Rome"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------
C:\WINDOWS\Temp\idd13.tmp.exe Found
C:\WINDOWS\Temp\idd1EF.tmp.exe Found
C:\WINDOWS\Temp\idd22.tmp.exe Found
C:\WINDOWS\Temp\iddA.tmp.exe Found
C:\WINDOWS\Temp\iddD2E.tmp.exe Found
C:\WINDOWS\Temp\winD2D.tmp.exe Found

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\user1\Desktop\imgtool20\4221 New_SA_Tank_Final[gta-action.com]\Thumbs.db
C:\Dokumente und Einstellungen\user1\Eigene Dateien\toni\Spiele.exe\Blobby Volley neu\Desktop.ini
C:\Dokumente und Einstellungen\user1\Eigene Dateien\toni\Spiele.exe\Blobby Volley neu\Thumbs.db
C:\Dokumente und Einstellungen\user1\Eigene Dateien\toni\Spiele.exe\harry-1.2.0\harry-1.2.0\data\classic\Thumbs.db
C:\Dokumente und Einstellungen\user1\Eigene Dateien\toni\Spiele.exe\harry-1.2.0\harry-1.2.0\data\classic\hair\Thumbs.db
C:\Programme\Softwin\BitDefender9\Quarantine\winD2B.tmp.exe
C:\hiberfil.sys
C:\WINDOWS\system32\203E719304.sys
C:\WINDOWS\system32\3245B0262C.sys
C:\WINDOWS\system32\CE3E3B2098.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\Programme\Softwin\BitDefender9\Quarantine\winD2B.tmp.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0838e3ca46c974d22be0ec664b800381\BITB.tmp

Finished
ich hoffe es hilft.

MfG Zenk
Seitenanfang Seitenende
31.01.2007, 21:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Zenk

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrvc32

Files to delete:
C:\WINDOWS\system32\winrvc32.dll
C:\WINDOWS\Temp\win9.tmp
C:\WINDOWS\Temp\win8.tmp
C:\WINDOWS\Temp\win7.tmp
C:\WINDOWS\Temp\win6.tmp
C:\WINDOWS\Temp\iddD2E.tmp.exe
C:\WINDOWS\Temp\winD2D.tmp.exe
C:\WINDOWS\Temp\idd13.tmp.exe
C:\WINDOWS\Temp\idd1EF.tmp.exe
C:\WINDOWS\Temp\idd22.tmp.exe
C:\WINDOWS\Temp\iddA.tmp.exe
C:\WINDOWS\Temp\iddD2E.tmp.exe
C:\WINDOWS\Temp\winD2D.tmp.exe
C:\Programme\Softwin\BitDefender9\Quarantine\winD2B.tmp.exe

Folders to delete:
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IY7MW3M3
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O74F2HMZ
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

»»
scanne mit panda und poste den scanreport
http://virus-protect.org/panda_online.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2007, 18:23
Zenk
...neu hier

Beiträge: 4
#7 panda sagt(leider etwas unvollständig da die verbindung dauernd unterbrochen wurde):

Zitat

Incident Status Location

Dialer;)ialer.ISM Not disinfected C:\avenger\backup.zip[avenger/idd13.tmp.exe]
Dialer;)ialer.ISM Not disinfected C:\avenger\backup.zip[avenger/idd1EF.tmp.exe]
Dialer;)ialer.ISM Not disinfected C:\avenger\backup.zip[avenger/idd22.tmp.exe]
Dialer;)ialer.ISM Not disinfected C:\avenger\backup.zip[avenger/iddA.tmp.exe]
Dialer;)ialer.ISM Not disinfected C:\avenger\backup.zip[avenger/iddD2E.tmp.exe]
Dialer;)ialer.ISL Not disinfected C:\avenger\backup.zip[avenger/winD2B.tmp.exe]
Dialer;)ialer.ISL Not disinfected C:\avenger\backup.zip[avenger/winD2D.tmp.exe]
Virus:Trj/Agent.DVU Disinfected C:\avenger\backup.zip[avenger/winrvc32.dll]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\user1\Cookies\user1@mediaplex[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\tfba77bh.default\Cache\DD0DA363d01[SDFix.exe][SDFix\apps\Process.exe]
Adware:Adware/WinAntivirus2006 Not disinfected C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\nykwsukf.dll
Virus:Trj/Clicker.XS Disinfected C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EOC4LIB8\antzom[1].exe
Adware:Adware/Yazzle Not disinfected C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F7GYE33C\mulbin32[1].exe
Adware:Adware/SuperSpider Not disinfected C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IJ2L4567\antzom[1].exe
MfG Zenk
Seitenanfang Seitenende
01.02.2007, 23:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Zenk

««
Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\nykwsukf.dll

Folders to delete:
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EOC4LIB8
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F7GYE33C
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IJ2L4567
»»
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.02.2007, 09:38
Zenk
...neu hier

Beiträge: 4
#9 system32.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\WINDOWS\system32

03.02.2007 09:39 2.714 rstwa.ini2
03.02.2007 09:38 81.984 bdod.bin
03.02.2007 08:42 332.322 OODBS.lor
02.02.2007 15:46 433 rstwa.ini
02.02.2007 15:44 460.559 rstwa.tmp
02.02.2007 12:43 63 getfile.dat
01.02.2007 17:52 0 asfiles.txt
01.02.2007 16:47 2.550 Uninstall.ico
01.02.2007 16:47 1.406 Help.ico
01.02.2007 16:47 30.590 pavas.ico
01.02.2007 16:32 44.165 vvxxklgp.dll
01.02.2007 16:31 277.128 awtsr.dll
01.02.2007 16:16 217.243 jkhff.dll
01.02.2007 16:09 36.864 svchosts.exe
01.02.2007 16:09 2.560 unsvchosts.exe
01.02.2007 16:09 911 unsvchosts.lzma
01.02.2007 16:08 22.591 ddcyawv.dll
01.02.2007 16:04 2.262 wpa.dbl
19.01.2007 18:00 403.968 perfh009.dat
19.01.2007 18:00 63.188 perfc009.dat
19.01.2007 18:00 418.970 perfh007.dat
19.01.2007 18:00 76.014 perfc007.dat
19.01.2007 18:00 967.348 PerfStringBackup.INI
03.01.2007 00:19 10.980.776 MRT.exe
24.12.2006 20:58 16.832 amcompat.tlb
24.12.2006 20:58 23.392 nscompat.tlb
21.12.2006 16:26 317.952 FNTCACHE.DAT

13.10.2006 13:35 65.536 nwwks.dll
system.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\WINDOWS

03.02.2007 09:39 8.896 ModemLog_SoftV92 Data Fax Modem.txt
03.02.2007 09:29 187.534 setupact.log
03.02.2007 08:45 69 NeroDigital.ini
03.02.2007 08:42 1.960.836 WindowsUpdate.log
03.02.2007 08:42 237 wiadebug.log
03.02.2007 08:42 50 wiaservc.log
03.02.2007 08:42 0 0.log
03.02.2007 08:42 2.048 bootstat.dat
02.02.2007 18:26 32.616 SchedLgU.Txt
02.02.2007 12:43 2.753 win.ini
01.02.2007 17:01 301.522 setupapi.log
31.01.2007 15:34 137.760 ntbtlog.txt
29.01.2007 15:42 141 SIERRA.INI
20.01.2007 20:42 266.551 DirectX.log
18.01.2007 14:16 113.592 hpoins07.dat
16.01.2007 15:58 4.363 ie7_main.log
12.01.2007 13:39 756.336 iis6.log
12.01.2007 13:39 233.156 comsetup.log
12.01.2007 13:39 139.900 ntdtcsetup.log
12.01.2007 13:39 310.983 tsoc.log
12.01.2007 13:39 1.374 imsins.log
12.01.2007 13:39 34.685 tabletoc.log
12.01.2007 13:39 37.264 ocmsn.log
12.01.2007 13:39 10.556 KB929969.log
12.01.2007 13:39 118.097 netfxocm.log
12.01.2007 13:39 48.680 MedCtrOC.log
12.01.2007 13:39 326.688 ocgen.log
12.01.2007 13:39 33.795 msgsocm.log
12.01.2007 13:39 667.460 FaxSetup.log
12.01.2007 13:39 209.594 msmqinst.log
06.01.2007 17:33 1.383 GTA-SA_Trn_Settings.ini
03.01.2007 19:58 871 WINNT32.LOG
03.01.2007 19:58 225 DHCPUPG.LOG
03.01.2007 19:58 149 wsdu.log
03.01.2007 19:58 1.891 imsins.BAK
28.12.2006 14:26 39.616 spupdsvc.log
28.12.2006 09:59 17.540 KB917734.log
28.12.2006 09:59 122.609 wmsetup.log
26.12.2006 09:57 21.717 KB923689.log
24.12.2006 20:59 461 wmsetup10.log
24.12.2006 20:57 316.640 WMSysPr9.prx
24.12.2006 11:20 0 zSpy.INI
21.12.2006 16:12 19 PatchInstall1Debug.log
21.12.2006 16:11 19 Studio10_BonusDVD.log
21.12.2006 16:09 19 install_Studio10.log
21.12.2006 16:08 1.196 VFO.INI
19.12.2006 19:25 17.747 KB925454.log
19.12.2006 19:25 57.210 updspapi.log
19.12.2006 15:29 9.588 KB925398.log
19.12.2006 15:28 10.989 KB923694.log

19.10.2006 08:05 9.230 KB923191.log
systemtemp.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\DOKUME~1\user1\LOKALE~1\Temp

03.02.2007 08:47 2 Twain001.Mtx
03.02.2007 08:47 0 TWAIN.LOG
03.02.2007 08:43 16.384 Perflib_Perfdata_478.dat
02.02.2007 12:45 416 java_install_reg.log
01.02.2007 16:53 59.964 Adobelm_Cleanup.0001
01.02.2007 16:33 20.480 nykwsukf.dll
01.02.2007 16:33 88.320 bbnvrntd.exe
01.02.2007 16:33 118.784 yugqhdsj.dll
01.02.2007 16:05 16.384 Perflib_Perfdata_4a4.dat
9 Datei(en) 320.734 Bytes
0 Verzeichnis(se), 10.725.060.608 Bytes frei
tmp.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\

03.02.2007 09:41 0 tmp.txt
03.02.2007 09:40 14.422 system.txt
03.02.2007 09:40 724 systemtemp.txt
03.02.2007 09:39 112.867 system32.txt
03.02.2007 09:28 1.080 wbpwrsmr.bat
03.02.2007 09:28 126.976 zip.exe
03.02.2007 09:28 864 gtcdoejg.txt
03.02.2007 08:42 2.097.152.000 pagefile.sys
03.02.2007 08:42 536.399.872 hiberfil.sys
30.01.2007 17:47 1.285 sys.txt
30.01.2007 17:46 628 down.txt
30.01.2007 17:34 8.859 ComboFix.txt
28.01.2007 11:45 16 SYSBOOT.DAT
12.01.2007 15:59 279 default.set
03.09.2006 10:59 216 DebugTrace-RockallDLL.log
29.08.2006 14:49 0 logwmemory.bin
06.05.2006 22:37 389 boot.ini
12.02.2006 15:03 87 AUTOEXEC.BAT
24.12.2004 14:06 0 CONFIG.SYS
24.12.2004 14:06 0 IO.SYS
24.12.2004 14:06 0 MSDOS.SYS
31.12.2002 13:00 4.952 bootfont.bin
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 251.184 ntldr
24 Datei(en) 2.634.124.264 Bytes
0 Verzeichnis(se), 10.725.056.512 Bytes frei
down.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
02.12.2005 11:55 5.101 swflash.inf
11.08.2005 16:30 417.792 isusweb.dll
29.06.2005 17:17 227 opuc.inf
26.05.2005 04:19 293 muweb.inf
26.05.2005 03:19 291 wuweb.inf
24.12.2004 14:05 65 desktop.ini
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
10 Datei(en) 786.914 Bytes
0 Verzeichnis(se), 10.725.056.512 Bytes frei
sys.txt

Zitat

Datentr„ger in Laufwerk C: ist HDD-PRI
Volumeseriennummer: 0CAA-30B8

Verzeichnis von C:\

03.02.2007 09:42 0 sys.txt
03.02.2007 09:41 724 down.txt
03.02.2007 09:41 1.381 tmp.txt
03.02.2007 09:40 14.422 system.txt
03.02.2007 09:40 724 systemtemp.txt
03.02.2007 09:39 112.867 system32.txt
03.02.2007 09:28 1.080 wbpwrsmr.bat
03.02.2007 09:28 126.976 zip.exe
03.02.2007 09:28 864 gtcdoejg.txt
03.02.2007 08:42 2.097.152.000 pagefile.sys
03.02.2007 08:42 536.399.872 hiberfil.sys
30.01.2007 17:34 8.859 ComboFix.txt
28.01.2007 11:45 16 SYSBOOT.DAT
12.01.2007 15:59 279 default.set
03.09.2006 10:59 216 DebugTrace-RockallDLL.log
29.08.2006 14:49 0 logwmemory.bin
06.05.2006 22:37 389 boot.ini
12.02.2006 15:03 87 AUTOEXEC.BAT
24.12.2004 14:06 0 CONFIG.SYS
24.12.2004 14:06 0 IO.SYS
24.12.2004 14:06 0 MSDOS.SYS
31.12.2002 13:00 4.952 bootfont.bin
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 251.184 ntldr
24 Datei(en) 2.634.124.456 Bytes
0 Verzeichnis(se), 10.725.060.608 Bytes frei
MfG Zenk
Seitenanfang Seitenende
03.02.2007, 17:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Information
W32.Ecup - Win32:Kapucen is a P2P spreading worm
http://virus-protect.org/artikel/spyware/svchost_s.html

-----------------------------

Avenger

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WindowsServicesStartup

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_MESSAGES\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_MESSAGES
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_MESSAGES\0000
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_MESSAGES
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_MESSAGES\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_MESSAGES
HKLM\SYSTEM\ControlSet001\Services\COM+ Messages
HKLM\SYSTEM\ControlSet002\Services\COM+ Messages
HKLM\SYSTEM\CurrentControlSet\Services\COM+ Messages

Files to delete:
C:\WINDOWS\system32\rstwa.ini2
C:\WINDOWS\system32\rstwa.ini
C:\WINDOWS\system32\rstwa.tmp
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\vvxxklgp.dll
C:\WINDOWS\system32\awtsr.dll
C:\WINDOWS\system32\jkhff.dll
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\unsvchosts.exe
C:\WINDOWS\system32\unsvchosts.lzma
C:\WINDOWS\system32\ddcyawv.dll
C:\wbpwrsmr.bat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\nykwsukf.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\bbnvrntd.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\yugqhdsj.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\svchost.exe

Folders to delete:
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\azureus

»»
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
Klicke: Start -Ausführen- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

----

««
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1