Drive Cleaner ... was ist das?

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.03.2007, 16:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Schraenky

ich finde nichts...........

scanne mit ewido und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2007, 19:15
Member

Beiträge: 22
#17 hm also ich hatte das Pop-Up gestern zweimal. Hab natürlich auf abbrechen geklickt, die folgende Weiterleitung wurd glaub von meinem System geblockt.

Seitdem ist dieses Pop-Up auch bisher nicht mehr aufgetaucht.

Ewido hab ich durchgeführt. Hab gleich zweimal gescannt, weil ich die Infections entfernt hab ohne nen Report zu speichern, und dann gabs keinen Report mehr.

Hier der Report nach dem zweiten Durchlauf.


__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Worm.AimVen
Path: C:\System Volume Information\_restore{EDC29BC3-B156-46E3-800A-F81C1D182E96}\RP197\A0031319.ocm
Risk: High

Name: Adware.AdMoke
Path: D:\System Volume Information\_restore{EDC29BC3-B156-46E3-800A-F81C1D182E96}\RP197\A0031320.exe
Risk: Medium
Seitenanfang Seitenende
30.03.2007, 20:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Schraenky

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann gleich wieder aktivieren)

dann sollte wieder alles i.o. sein ;)
wenn es noch Probleme gibt - melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2007, 17:36
Member

Beiträge: 31
#19 Hallo alle

ok das ist mir jetzt etwas unangenehm aber:
Ich hab in diesem Thread die übersicht verloren welche programme ich wann und wie durchlaufen lassen muss usw ... Hab das gleiche problem.

Also als erstes Port ich mal diesen Hijacktext:

Logfile of HijackThis v1.99.1
Scan saved at 17:14:03, on 03.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\AVANTB~1\avant.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Avant Browser\avant.exe
C:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\Dokumente und Einstellungen\Van Helsing\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Helper Class - {890C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\mstrans1.dll
O4 - HKLM\..\Run: [Winexes] C:\WINDOWS\system32\server.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [svchost] C:\svchost.exe
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\__c003390E.dat",setvm
O4 - HKCU\..\Run: [Winexes] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [A00F4E2CB2.exe] C:\DOKUME~1\VANHEL~1\LOKALE~1\Temp\_A00F4E2CB2.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\NetAnts\NAGet.htm
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alle Links auf dieser Seite öffnen... - C:\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Hervorheben - C:\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuer AvantBrowser-Instanz öffnen - C:\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Avant Browser\AddToADBlackList.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\NetAnts\NetAnts.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\xp-AntiSpy2\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\xp-AntiSpy2\sponsoring\sponsor.html (HKCU)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: __c0020F7A - C:\WINDOWS\system32\__c0020F7A.dat (file missing)
O20 - Winlogon Notify: __c002AD84 - C:\WINDOWS\system32\__c002AD84.dat (file missing)
O20 - Winlogon Notify: __c0030E1C - C:\WINDOWS\system32\__c0030E1C.dat (file missing)
O20 - Winlogon Notify: __c0034D84 - C:\WINDOWS\system32\__c0034D84.dat (file missing)
O20 - Winlogon Notify: __c0046299 - C:\WINDOWS\system32\__c0046299.dat (file missing)
O20 - Winlogon Notify: __c0083C6A - C:\WINDOWS\system32\__c0083C6A.dat (file missing)
O20 - Winlogon Notify: __c0089C08 - C:\WINDOWS\system32\__c0089C08.dat (file missing)
O20 - Winlogon Notify: __c00A6329 - C:\WINDOWS\system32\__c00A6329.dat
O20 - Winlogon Notify: __c00AAA5A - C:\WINDOWS\system32\__c00AAA5A.dat (file missing)
O20 - Winlogon Notify: __c00C65F8 - C:\WINDOWS\system32\__c00C65F8.dat (file missing)
O20 - Winlogon Notify: __c00C8A2E - C:\WINDOWS\system32\__c00C8A2E.dat (file missing)
O20 - Winlogon Notify: __c00F3572 - C:\WINDOWS\system32\__c00F3572.dat (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe




So das war Hijack!

Ich würde mich sehr freuen und dankbar sein wenn man mich jetzt weiter leiten würde was ich zu tun hab ;)
Ich bedanke mich schonmal herzlich: danke!
Seitenanfang Seitenende
03.04.2007, 18:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Marci321

«
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

«
Combofix - Textdatei im Thead posten
http://virus-protect.org/artikel/tools/combofix.html

«
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2007, 21:30
Member

Beiträge: 31
#21 Gut das werde ich dann gleich mal tun und die entsprechenden logs posten, danke (bin gerade nicht am infiziertem PC)

Aber eine Frage hätte ich noch vorweg: In dem Log den ich gepostet habe, haben Sie Zeilen rot eingefärbt. Soll ich diese Zeilen mit Hijack löschen oder ist das nicht von bedeutung?
Seitenanfang Seitenende
03.04.2007, 21:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 was rot gekennzeichnet ist - ist fuer mich gedacht ;) - ich komme dann, wenn ich alle logs habe, darauf zurueck ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2007, 22:57
Member

Beiträge: 31
#23 CleanUp! ist durchgelaufen!

Combofix:

"Van Helsing" - 07-04-03 22:35:56 Service Pack 2
ComboFix 07-04-04 - Running from: "C:\Dokumente und Einstellungen\Van Helsing\Desktop"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\server.exe


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm


((((((((((((((((((((((((((((((( Files Created from 2007-03-03 to 2007-04-03 ))))))))))))))))))))))))))))))))))


2007-04-03 22:15 <DIR> d-------- C:\CleanUp!
2007-04-03 17:30 119,822 --a------ C:\WINDOWS\system32\__c00F64D9.dat
2007-04-03 17:05 <DIR> d-------- C:\avenger
2007-04-03 16:47 10,766 --a------ C:\WINDOWS\system32\__c00A6329.dat
2007-04-02 20:07 <DIR> d-------- C:\Temp
2007-04-02 18:13 <DIR> d-------- C:\AudioCon
2007-04-02 17:49 59,904 --a------ C:\WINDOWS\system32\Mscc2fr.dll
2007-04-02 17:49 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL
2007-04-02 17:49 21,504 --a------ C:\WINDOWS\system32\TABCTFR.DLL
2007-04-02 17:49 15,360 --a------ C:\WINDOWS\system32\inetfr.DLL
2007-04-02 17:49 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2007-04-02 17:49 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2007-04-02 17:49 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2007-03-30 18:53 45,568 --a------ C:\WINDOWS\system32\mstrans1.dll
2007-03-30 18:38 45,568 --a------ C:\WINDOWS\system32\mstrans.dll
2007-03-30 15:02 <DIR> d--h----- C:\WINDOWS\PIF
2007-03-29 15:00 <DIR> d-------- C:\The Sims Creator
2007-03-29 14:59 <DIR> d-------- C:\Die Sims
2007-03-28 14:32 <DIR> d-------- C:\ClonyXXL
2007-03-23 10:50 <DIR> d-------- C:\Far cry
2007-03-22 23:19 10 --a------ C:\WINDOWS\smdat32m.sys
2007-03-22 23:19 0 --a------ C:\WINDOWS\smdat32a.sys
2007-03-22 22:16 400 --a------ C:\xcrashdump.dat
2007-03-21 17:50 15,374 --a------ C:\windlgs.exe
2007-03-14 17:48 <DIR> d-------- C:\CDex_170b2
2007-03-10 01:27 <DIR> d-------- C:\Cossacks II
2007-03-10 01:22 21,504 --a------ C:\WINDOWS\jestertb.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-03 22:28 51733 --a------ C:\WINDOWS\system32\plugin1.dat
2007-04-03 17:30 119822 --a------ C:\WINDOWS\system32\__c00f64d9.dat
2007-04-03 16:47 10766 --a------ C:\WINDOWS\system32\__c00a6329.dat
2007-04-03 00:48 -------- d-------- C:\DOKUME~1\VANHEL~1\ANWEND~1\skype
2007-03-30 19:43 2161 --a------ C:\WINDOWS\ereg.dat
2007-03-25 11:57 71650 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 11:57 406960 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-09 23:53 -------- d-------- C:\DOKUME~1\VANHEL~1\ANWEND~1\teamspeak2


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Winexes"="C:\\WINDOWS\\system32\\server.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Winexes"="C:\\WINDOWS\\system32\\server.exe"
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe"
"svchost"="C:\\svchost.exe"
"startkey"="C:\\WINDOWS\\system32\\server.exe"
"snpstd"="C:\\WINDOWS\\vsnpstd.exe"
"RTHDCPL"="RTHDCPL.EXE"
"ICQ Lite"="\"C:\\ICQLite\\ICQLite.exe\" -minimize"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"
"Alcmtr"="ALCMTR.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Matrox Powerdesk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDesk"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\PDesk.exe /Autolaunch"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCMService"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="\"C:\\Steam\\Steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{1290A33C-85F5-4164-A1BE-7DD299D4986A}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PBKScheduler"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\CyberLink\\PowerBackup\\PBKScheduler.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=dword:00000002
"LexBceS"=dword:00000002
"HTTPFilter"=dword:00000003
"Browser"=dword:00000002


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0020F7A
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c002AD84
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0030E1C
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0034D84
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0046299
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0083C6A
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0089C08
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00A6329
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00AAA5A
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C65F8
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C8A2E
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00F3572

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{85216fab-739f-11da-b175-806d6172696f}]
Shell\AutoRun\command D:\AUTORUN.EXE

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b95fe5dc-03e1-11db-bac2-00148562cc18}]
Shell\AutoRun\command K:\autorun.exe


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-03 22:39:19
C:\ComboFix-quarantined-files.txt ... 07-04-03 22:39



Datfind.bat:
System32.txt:------------------------------------

Datentr„ger in Laufwerk C: ist Bananemuh
Volumeseriennummer: 6C5D-7F9C

Verzeichnis von C:\WINDOWS\system32

03.04.2007 22:29 4.239.494 SysPr.prx
03.04.2007 22:28 303.949 9D46F00c__.ini
03.04.2007 22:28 51.733 plugin1.dat
03.04.2007 17:30 119.822 __c00F64D9.dat
03.04.2007 17:06 294.820 E093300c__.ini
03.04.2007 16:47 10.766 __c00A6329.dat
30.03.2007 18:53 45.568 mstrans1.dll
30.03.2007 18:53 563 helper.xml
30.03.2007 18:38 45.568 mstrans.dll
28.03.2007 21:46 280.223 D47B500c__.ini
27.03.2007 22:43 1.158 wpa.dbl
25.03.2007 11:57 59.404 perfc009.dat
25.03.2007 11:57 393.774 perfh009.dat
25.03.2007 11:57 71.650 perfc007.dat
25.03.2007 11:57 406.960 perfh007.dat
25.03.2007 11:57 942.746 PerfStringBackup.INI



Systemtemp.txt:------------------------------------

Datentr„ger in Laufwerk C: ist Bananemuh
Volumeseriennummer: 6C5D-7F9C

Verzeichnis von C:\DOKUME~1\VANHEL~1\LOKALE~1\Temp

03.04.2007 22:44 15 wnd.tmp
1 Datei(en) 15 Bytes
0 Verzeichnis(se), 59.714.916.352 Bytes frei




Windows.txt:-----------------------------------------

Datentr„ger in Laufwerk C: ist Bananemuh
Volumeseriennummer: 6C5D-7F9C

Verzeichnis von C:\WINDOWS

03.04.2007 22:43 122.225 WindowsUpdate.log
03.04.2007 22:43 0 0.log
03.04.2007 22:42 116 NeroDigital.ini
03.04.2007 22:41 50 wiaservc.log
03.04.2007 22:41 159 wiadebug.log
03.04.2007 22:41 2.048 bootstat.dat
03.04.2007 16:54 241.445 setupact.log
03.04.2007 15:05 95 winamp.ini
02.04.2007 20:02 1.179.974 ntbtlog.txt
02.04.2007 17:49 54.552 wmsetup.log
02.04.2007 16:34 277 system.ini
02.04.2007 16:34 582 win.ini
01.04.2007 22:43 1.386.005 setupapi.log
31.03.2007 15:43 180 Clony2.ini
31.03.2007 15:43 61 ClonyCDs.ini
30.03.2007 19:43 2.161 eReg.dat
22.03.2007 23:22 10 smdat32m.sys
22.03.2007 23:19 0 smdat32a.sys
10.03.2007 01:22 21.504 jestertb.dll
18.02.2007 04:32 876 $_hpcst$.hpc
17.02.2007 23:30 262 game.ini
17.02.2007 15:49 893 scummvm.ini
17.02.2007 14:44 295 nsw.log
18.01.2007 14:17 120.734 Directx.log



Temp.txt:---------------------------------------

Datentr„ger in Laufwerk C: ist Bananemuh
Volumeseriennummer: 6C5D-7F9C

Verzeichnis von C:\WINDOWS\Temp

03.04.2007 22:41 0 sqlite_7mRObXYfVp3uX4S
03.04.2007 22:41 0 CLML_AGENT_LOG1.txt
2 Datei(en) 0 Bytes
0 Verzeichnis(se), 59.714.887.680 Bytes frei


down.txt ------------------------------------------

Kein Eintrag innerhalb der letzten 3 Monate



C.txt:---------------------------------------------

Datentr„ger in Laufwerk C: ist Bananemuh
Volumeseriennummer: 6C5D-7F9C

Verzeichnis von C:\

03.04.2007 22:45 0 sys.txt
03.04.2007 22:45 453 down.txt
03.04.2007 22:45 340 tmp.txt
03.04.2007 22:45 10.014 system.txt
03.04.2007 22:45 287 systemtemp.txt
03.04.2007 22:44 97.980 system32.txt
03.04.2007 22:41 1.073.270.784 hiberfil.sys
03.04.2007 22:41 1.610.612.736 pagefile.sys
03.04.2007 22:39 9.788 ComboFix.txt
03.04.2007 22:39 545 ComboFix-quarantined-files.txt
03.04.2007 17:05 18.800 avenger.txt
02.04.2007 17:03 400 xcrashdump.dat
02.04.2007 16:34 211 boot.ini
21.03.2007 17:50 15.374 windlgs.exe
01.02.2006 17:33 27 expand.txt




Hoffe das ist jetzt alles was man braucht und nicht zuviel/zuwenig ;)
Seitenanfang Seitenende
03.04.2007, 23:03
...neu hier

Beiträge: 7
#24 Hallo Sabina,

Danke für deine tolle Hilfe! Ich habe nun schon mal die ersten Schritte durchgeführt, hier sind die Protokolle.


Combofix - Textdatei:

"" - 07-04-03 21:30:05 Service Pack 2
ComboFix 07-04-04 - Running from: "C:\Dokumente und Einstellungen\\Desktop"


((((((((((((((((((((((((((((((( Files Created from 2007-03-03 to 2007-04-03 ))))))))))))))))))))))))))))))))))


2007-04-03 21:25 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Help
2007-04-01 19:01 787,989 ---hs---- C:\WINDOWS\system32\pqtwa.ini2
2007-03-28 20:16 818,420 ---hs---- C:\WINDOWS\system32\pqtwa.bak2
2007-03-28 00:33 26,730 --a------ C:\WINDOWS\system32\fccbcaw.dll

2007-03-27 18:20 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
2007-03-27 17:50 26,730 --a------ C:\WINDOWS\system32\ddcyabc.dll
2007-03-27 13:50 907,120 ---hs---- C:\WINDOWS\system32\pqtwa.bak1
2007-03-27 13:50 48,708 --a------ C:\WINDOWS\system32\wreltdmc.dll
2007-03-27 13:49 280,676 ---hs---- C:\WINDOWS\system32\pmnnk.dll
2007-03-27 13:49 280,676 ---hs---- C:\WINDOWS\system32\awtqp.dll
2007-03-27 13:48 280,676 ---hs---- C:\WINDOWS\system32\mljjk.dll
2007-03-27 13:36 26,697 --a------ C:\WINDOWS\system32\tuvspnm.dll
2007-03-27 13:36 26,697 --a------ C:\WINDOWS\system32\qomlmnl.dll
2007-03-27 13:35 26,697 --a------ C:\WINDOWS\system32\pmnljgg.dll
2007-03-27 13:35 26,697 --a------ C:\WINDOWS\system32\byxvvtu.dll
2007-03-27 13:33 26,697 --a------ C:\WINDOWS\system32\cbxywur.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-03 21:32 48708 --a------ C:\WINDOWS\system32\ulhacofn.dll
2007-04-03 21:22 -------- d-------- C:\DOKUME~1\ANDREA~1\ANWEND~1\skype
2007-03-31 11:48 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-03-26 03:29 64994 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-26 03:29 395074 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-07 19:33 -------- d-------- C:\Programme\icqlite
2007-02-28 11:13 -------- d-------- C:\Programme\msn messenger
2007-02-25 20:21 -------- d-------- C:\Programme\google
2007-02-25 16:09 -------- d-------- C:\DOKUME~1\ANDREA~1\ANWEND~1\vlc
2007-02-25 16:05 -------- d-------- C:\Programme\videolan
2007-02-25 14:30 -------- d-------- C:\Programme\divx
2007-02-25 13:29 -------- d-------- C:\DOKUME~1\ANDREA~1\ANWEND~1\divx
2007-02-22 01:13 -------- d--h----- C:\Programme\installshield installation information
2007-02-09 20:57 -------- d-------- C:\Programme\itunes
2007-02-09 20:57 -------- d-------- C:\Programme\ipod
2007-02-09 20:56 -------- d-------- C:\Programme\quicktime
2007-01-19 13:53 51056 --a------ C:\WINDOWS\system32\sirenacm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"T-Online_Software_5\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"freenetMail Sync"="\"C:\\Programme\\freenetMail Desktop Sync\\freenetMail_Desktop_Sync.exe\" -S"
"VoipCheap"="\"C:\\programme\\voipcheap\\voipcheap.exe\" -nosplash -minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"HP Software Update"="C:\\Programme\\Hp\\HP Software Update\\HPWuSchd2.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"hpWirelessAssistant"="C:\\Programme\\hpq\\HP Wireless Assistant\\HP Wireless Assistant.exe"
"QPService"="\"C:\\Programme\\HP\\QuickPlay\\QPService.exe\""
"eabconfg.cpl"="C:\\Programme\\HPQ\\Quick Launch Buttons\\EabServr.exe /Start"
"Cpqset"="C:\\Programme\\HPQ\\Default Settings\\cpqset.exe"
"RecGuard"="C:\\Windows\\SMINST\\RecGuard.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"CAP3ON"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\CAP3ONN.EXE"
"Device Detection"="C:\\Programme\\Schlecker Fotoservice\\dd.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"DJSNetCN"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\DJSNETCN.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{182B90A3-F372-438A-800C-6814B4DE417B}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqp
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyabc
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccbcaw


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - .job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe???????????????????|?????? ???B?????????????hLC????????

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-03 21:33:02
C:\ComboFix-quarantined-files.txt ... 07-04-03 21:33

_________________________________________________________________


Ich glaube aber, dass datfind bei mir vom falschen Laufwerk zieht (D), die logs sind ja auch alle identisch?!

Danke schon mal!
Seitenanfang Seitenende
04.04.2007, 12:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Marci321

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked

Zitat

O2 - BHO: Helper Class - {890C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\mstrans1.dll

O4 - HKLM\..\Run: [Winexes] C:\WINDOWS\system32\server.exe

O4 - HKLM\..\Run: [svchost] C:\svchost.exe

O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\__c003390E.dat",setvm

O4 - HKCU\..\Run: [Winexes] C:\WINDOWS\system32\server.exe

O4 - HKCU\..\Run: [A00F4E2CB2.exe] C:\DOKUME~1\VANHEL~1\LOKALE~1\Temp\_A00F4E2CB2.exe

O20 - Winlogon Notify: __c0020F7A - C:\WINDOWS\system32\__c0020F7A.dat (file missing)
O20 - Winlogon Notify: __c002AD84 - C:\WINDOWS\system32\__c002AD84.dat (file missing)
O20 - Winlogon Notify: __c0030E1C - C:\WINDOWS\system32\__c0030E1C.dat (file missing)
O20 - Winlogon Notify: __c0034D84 - C:\WINDOWS\system32\__c0034D84.dat (file missing)
O20 - Winlogon Notify: __c0046299 - C:\WINDOWS\system32\__c0046299.dat (file missing)
O20 - Winlogon Notify: __c0083C6A - C:\WINDOWS\system32\__c0083C6A.dat (file missing)
O20 - Winlogon Notify: __c0089C08 - C:\WINDOWS\system32\__c0089C08.dat (file missing)
O20 - Winlogon Notify: __c00A6329 - C:\WINDOWS\system32\__c00A6329.dat
O20 - Winlogon Notify: __c00AAA5A - C:\WINDOWS\system32\__c00AAA5A.dat (file missing)
O20 - Winlogon Notify: __c00C65F8 - C:\WINDOWS\system32\__c00C65F8.dat (file missing)
O20 - Winlogon Notify: __c00C8A2E - C:\WINDOWS\system32\__c00C8A2E.dat (file missing)
O20 - Winlogon Notify: __c00F3572 - C:\WINDOWS\system32\__c00F3572.dat (file missing)
--------------------------------------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Winexes
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|svchost
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|startkey
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundService

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0020F7A
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c002AD84
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0030E1C
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0034D84
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0046299
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0083C6A
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0089C08
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00A6329
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00AAA5A
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C65F8
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C8A2E
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00F3572
HKLM\SOFTWARE\Classes\CLSID\{890C7964-9320-4055-BE11-7D7B562A6417}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{890C7964-9320-4055-BE11-7D7B562A6417}

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\_A00F4E2CB2.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\wnd.tmp
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\helper.xml
C:\WINDOWS\system32\__c003390E.dat
C:\WINDOWS\system32\__c00F64D9.dat
C:\WINDOWS\system32\__c00f64d9.dat
C:\WINDOWS\system32\__c00a6329.dat
C:\WINDOWS\system32\9D46F00c__.ini
C:\WINDOWS\system32\E093300c__.ini
C:\WINDOWS\system32\D47B500c__.ini
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\system32\server.exe
C:\svchost.exe
C:\windlgs.exe
C:\WINDOWS\system32\mstrans1.dll
C:\WINDOWS\system32\mstrans.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

------------------------------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 12:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 andi_81

du musst datfindbat auf C:\ entpacken + anwenden ;)
http://virus-protect.org/datfindbat.html
+
poste auch das log vom hijacktHis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 18:29
...neu hier

Beiträge: 7
#27 Ok, danke!

04.04.2007 17:18 759.580 pqtwa.ini2
04.04.2007 17:08 789.306 pqtwa.bak2
04.04.2007 17:07 1.158 wpa.dbl
04.04.2007 10:31 281.336 FNTCACHE.DAT
03.04.2007 21:32 48.708 ulhacofn.dll
30.03.2007 01:29 1.700.386 agqkyqda.ini
28.03.2007 01:27 943.483 pqtwa.ini
28.03.2007 00:34 937.507 pqtwa.tmp
28.03.2007 00:33 26.730 fccbcaw.dll
27.03.2007 17:50 26.730 ddcyabc.dll
27.03.2007 13:50 48.708 wreltdmc.dll
27.03.2007 13:50 907.120 pqtwa.bak1
27.03.2007 13:49 280.676 awtqp.dll
27.03.2007 13:49 353 knnmp.ini
27.03.2007 13:49 280.676 pmnnk.dll
27.03.2007 13:48 353 kjjlm.ini
27.03.2007 13:48 280.676 mljjk.dll
26.03.2007 03:29 383.588 perfh009.dat
26.03.2007 03:29 53.942 perfc009.dat
26.03.2007 03:29 64.994 perfc007.dat
26.03.2007 03:29 395.074 perfh007.dat
26.03.2007 03:29 906.376 PerfStringBackup.INI
08.03.2007 16:36 579.072 user32.dll
08.03.2007 16:36 281.600 gdi32.dll
08.03.2007 16:36 40.960 mf3216.dll
08.03.2007 16:32 1.843.712 win32k.sys
07.03.2007 21:36 12.619.736 MRT.exe
18.02.2007 01:21 122.142 TZLog.log
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
30.01.2007 06:03 183.032 PxMas.dll
30.01.2007 06:03 379.640 PxWave.dll
30.01.2007 06:03 502.520 pxdrv.dll
30.01.2007 06:03 1.329.912 PxSFS.DLL
30.01.2007 06:03 527.096 Px.dll
30.01.2007 06:03 39.672 VXBLOCK.dll
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 13:52 617.472 urlmon.dll
23.01.2007 20:30 546.304 hhctrl.ocx
22.01.2007 14:39 23.392 nscompat.tlb
22.01.2007 14:39 16.832 amcompat.tlb
19.01.2007 13:53 51.056 sirenacm.dll
04.01.2007 14:41 664.576 wininet.dll
04.01.2007 14:41 474.624 shlwapi.dll
04.01.2007 14:41 1.494.528 shdocvw.dll
04.01.2007 14:41 532.480 mstime.dll
04.01.2007 14:41 39.424 pngfilt.dll
04.01.2007 14:40 146.432 msrating.dll
04.01.2007 14:40 448.512 mshtmled.dll
04.01.2007 14:40 3.077.632 mshtml.dll
04.01.2007 14:40 96.768 inseng.dll
04.01.2007 14:40 16.384 jsproxy.dll
04.01.2007 14:40 251.392 iepeers.dll
04.01.2007 14:40 1.056.256 danim.dll
04.01.2007 14:40 55.808 extmgr.dll
04.01.2007 14:40 205.312 dxtrans.dll
04.01.2007 14:40 357.888 dxtmsft.dll
04.01.2007 14:40 152.064 cdfview.dll
04.01.2007 14:40 1.023.488 browseui.dll
04.01.2007 12:52 123.392 xpsp3res.dll
--------------------------------------------
04.04.2007 17:16 512 ~DF1044.tmp
04.04.2007 17:16 512 ~DFBFDD.tmp
04.04.2007 17:13 512 ~DFADAA.tmp
04.04.2007 17:13 131.072 ~DFAB2B.tmp
04.04.2007 17:13 512 ~DF49E9.tmp
04.04.2007 17:13 131.072 ~DF47E6.tmp
04.04.2007 17:12 2.924 jusched.log
04.04.2007 17:09 0 Perflib_Perfdata_e88.dat
04.04.2007 17:09 16.384 ~DF7886.tmp
04.04.2007 17:08 98.304 ~DF20C2.tmp
04.04.2007 17:08 16.384 ~DFB3FD.tmp
04.04.2007 17:08 512 ~DF1258.tmp
04.04.2007 17:08 16.384 ~DF1168.tmp
04.04.2007 17:08 0 JET2919.tmp
04.04.2007 15:03 53.982 CC242.tmp
04.04.2007 14:24 23.427 TFR22D.tmp
04.04.2007 14:24 67.994 TFR229.tmp
04.04.2007 14:24 21.122 TFR228.tmp
04.04.2007 14:24 27.777 TFR227.tmp
04.04.2007 14:24 67.560 TFR225.tmp
04.04.2007 14:24 59.218 TFR223.tmp
04.04.2007 14:24 46.660 TFR221.tmp
04.04.2007 14:24 46.021 TFR220.tmp
04.04.2007 12:55 16.384 ~DF5F7D.tmp
04.04.2007 11:58 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}18093.html
04.04.2007 11:48 16.384 ~DF84C5.tmp
04.04.2007 10:33 16.384 ~DF47A.tmp
04.04.2007 10:33 16.384 ~DFAD7A.tmp
04.04.2007 10:32 98.304 ~DF4EA7.tmp
04.04.2007 10:29 147.456 ~WRF0001.tmp
04.04.2007 09:22 416 java_install_reg.log
04.04.2007 08:24 16.384 ~DFF6A6.tmp
04.04.2007 08:24 98.304 ~DF7F3B.tmp
03.04.2007 23:00 98.304 ~DF5E9A.tmp
03.04.2007 22:52 147.456 ~WRF0000.tmp
03.04.2007 21:25 98.304 ~DF2179.tmp
36 Datei(en) 1.600.287 Bytes
0 Verzeichnis(se), 63.794.966.528 Bytes frei
-------------------------------------------------------
04.04.2007 17:07 0 0.log
04.04.2007 17:06 157 wiadebug.log
04.04.2007 17:06 2.021.061 WindowsUpdate.log
04.04.2007 17:06 50 wiaservc.log
04.04.2007 17:06 2.048 bootstat.dat
04.04.2007 15:04 32.622 SchedLgU.Txt
04.04.2007 12:31 54.156 QTFont.qfn
04.04.2007 12:31 1.409 QTFont.for
04.04.2007 09:08 943.064 setupapi.log
04.04.2007 08:27 115.487 iis6.log
04.04.2007 08:27 254.217 comsetup.log
04.04.2007 08:27 153.306 ntdtcsetup.log
04.04.2007 08:27 286.041 tsoc.log
04.04.2007 08:27 1.355 imsins.log
04.04.2007 08:27 15.198 KB925902.log
04.04.2007 08:27 41.050 ocmsn.log
04.04.2007 08:27 365.846 ocgen.log
04.04.2007 08:27 36.974 msgsocm.log
04.04.2007 08:27 727.433 FaxSetup.log
04.04.2007 08:27 42.957 updspapi.log
01.04.2007 06:45 97.111 wmsetup.log
29.03.2007 08:17 116 NeroDigital.ini
23.03.2007 15:08 3.216 tm.ini
23.03.2007 15:06 124 tdf.dii
17.03.2007 04:02 1.374 imsins.BAK
17.03.2007 04:02 10.014 KB929399.log
17.03.2007 04:01 22.121 KB929338.log
02.03.2007 13:12 39.512 spupdsvc.log
02.03.2007 10:04 19.849 WgaNotify.log
28.02.2007 11:14 6.078 DPINST.LOG
18.02.2007 01:22 22.615 KB927779.log
18.02.2007 01:22 19.629 KB927802.log
18.02.2007 01:22 19.382 KB928255.log
18.02.2007 01:22 11.242 KB923723.log
18.02.2007 01:22 15.817 KB924667.log
18.02.2007 01:22 28.261 KB931836.log
18.02.2007 01:21 18.079 KB926436.log
18.02.2007 01:21 17.787 KB918118.log
18.02.2007 01:21 20.698 KB928090.log
18.02.2007 01:21 10.646 KB928843.log
09.02.2007 20:57 357 GEARInstall.log
22.01.2007 14:42 893 wmsetup10.log
22.01.2007 14:40 6.584 KB926239.log
22.01.2007 14:39 5.009 MSCompPackV1.log
22.01.2007 14:39 20.834 wmp11.log
22.01.2007 14:39 877 win.ini
22.01.2007 14:38 26.759 WMFDist11.log
22.01.2007 14:38 316.640 WMSysPr9.prx
22.01.2007 14:38 11.990 Wudf01000Inst.log
17.01.2007 10:53 26.693 KB929969.log
17.12.2006 10:29 19.564 KB925454.log
17.12.2006 10:28 12.020 KB925398.log
17.12.2006 10:28 13.245 KB923689.log
17.12.2006 10:27 12.110 KB926255.log
17.12.2006 10:26 15.341 KB923694.log
07.12.2006 04:46 1.175 ie7_main.log
-------------------------------------------------

Verzeichnis von C:\WINDOWS\temp

04.04.2007 17:07 409 WGANotify.settings
04.04.2007 17:07 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 63.794.962.432 Bytes frei
-------------------------------------------------------
Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.12.2006 16:16 144 QTPlugin.inf
11.07.2006 09:41 345.656 ewidoOnlineScan.dll
07.08.2004 06:12 65 desktop.ini
------------------------------------------------------
Verzeichnis von C:\

04.04.2007 17:23 0 sys.txt
04.04.2007 17:22 552 down.txt
04.04.2007 17:22 334 tmp.txt
04.04.2007 17:21 11.268 system.txt
04.04.2007 17:20 2.072 systemtemp.txt
04.04.2007 17:18 98.197 system32.txt
04.04.2007 17:18 668 datFind.bat
04.04.2007 17:07 2.124 hpqp.ini
04.04.2007 17:07 40 XP_TV.ini
04.04.2007 17:06 1.063.374.848 hiberfil.sys
04.04.2007 17:06 1.598.029.824 pagefile.sys
03.04.2007 21:45 7.553 ComboFix.txt
03.04.2007 21:33 466 ComboFix-quarantined-files.txt
07.03.2007 20:25 268 sqmdata06.sqm
07.03.2007 20:25 244 sqmnoopt06.sqm
07.03.2007 09:24 232 sqmdata05.sqm
07.03.2007 09:24 244 sqmnoopt05.sqm
06.03.2007 19:43 232 sqmdata04.sqm
06.03.2007 19:43 244 sqmnoopt04.sqm
06.03.2007 10:09 232 sqmdata03.sqm
06.03.2007 10:09 244 sqmnoopt03.sqm
05.03.2007 23:55 232 sqmdata02.sqm
05.03.2007 23:55 244 sqmnoopt02.sqm
05.03.2007 20:05 232 sqmdata01.sqm
05.03.2007 20:05 244 sqmnoopt01.sqm
05.03.2007 15:06 232 sqmdata00.sqm
05.03.2007 15:06 244 sqmnoopt00.sqm
04.03.2007 18:58 232 sqmdata19.sqm
04.03.2007 18:58 244 sqmnoopt19.sqm
04.03.2007 03:06 232 sqmdata18.sqm
04.03.2007 03:06 244 sqmnoopt18.sqm
03.03.2007 21:43 232 sqmdata17.sqm
03.03.2007 21:43 244 sqmnoopt17.sqm
03.03.2007 21:43 232 sqmdata16.sqm
03.03.2007 21:43 244 sqmnoopt16.sqm
03.03.2007 21:42 244 sqmnoopt15.sqm
03.03.2007 21:42 232 sqmdata15.sqm
03.03.2007 21:41 232 sqmdata14.sqm
03.03.2007 21:41 244 sqmnoopt14.sqm
03.03.2007 17:29 232 sqmdata13.sqm
03.03.2007 17:29 244 sqmnoopt13.sqm
03.03.2007 10:57 232 sqmdata12.sqm
03.03.2007 10:57 244 sqmnoopt12.sqm
02.03.2007 22:37 244 sqmnoopt11.sqm
02.03.2007 22:37 268 sqmdata11.sqm
02.03.2007 20:30 232 sqmdata10.sqm
02.03.2007 20:30 244 sqmnoopt10.sqm
02.03.2007 16:13 268 sqmdata09.sqm
02.03.2007 16:13 244 sqmnoopt09.sqm
02.03.2007 13:30 232 sqmdata08.sqm
02.03.2007 13:30 244 sqmnoopt08.sqm
02.03.2007 13:21 232 sqmdata07.sqm
02.03.2007 13:21 244 sqmnoopt07.sqm
04.09.2006 09:49 42.659.502 NIS2006DE_1und1DE.exe

Verzeichnis von C:\

04.04.2007 17:23 0 sys.txt
04.04.2007 17:22 552 down.txt
04.04.2007 17:22 334 tmp.txt
04.04.2007 17:21 11.268 system.txt
04.04.2007 17:20 2.072 systemtemp.txt
04.04.2007 17:18 98.197 system32.txt
04.04.2007 17:18 668 datFind.bat
04.04.2007 17:07 2.124 hpqp.ini
04.04.2007 17:07 40 XP_TV.ini
04.04.2007 17:06 1.063.374.848 hiberfil.sys
04.04.2007 17:06 1.598.029.824 pagefile.sys
03.04.2007 21:45 7.553 ComboFix.txt
03.04.2007 21:33 466 ComboFix-quarantined-files.txt
07.03.2007 20:25 268 sqmdata06.sqm
07.03.2007 20:25 244 sqmnoopt06.sqm
07.03.2007 09:24 232 sqmdata05.sqm
07.03.2007 09:24 244 sqmnoopt05.sqm
06.03.2007 19:43 232 sqmdata04.sqm
06.03.2007 19:43 244 sqmnoopt04.sqm
06.03.2007 10:09 232 sqmdata03.sqm
06.03.2007 10:09 244 sqmnoopt03.sqm
05.03.2007 23:55 232 sqmdata02.sqm
05.03.2007 23:55 244 sqmnoopt02.sqm
05.03.2007 20:05 232 sqmdata01.sqm
05.03.2007 20:05 244 sqmnoopt01.sqm
05.03.2007 15:06 232 sqmdata00.sqm
05.03.2007 15:06 244 sqmnoopt00.sqm
04.03.2007 18:58 232 sqmdata19.sqm
04.03.2007 18:58 244 sqmnoopt19.sqm
04.03.2007 03:06 232 sqmdata18.sqm
04.03.2007 03:06 244 sqmnoopt18.sqm
03.03.2007 21:43 232 sqmdata17.sqm
03.03.2007 21:43 244 sqmnoopt17.sqm
03.03.2007 21:43 232 sqmdata16.sqm
03.03.2007 21:43 244 sqmnoopt16.sqm
03.03.2007 21:42 244 sqmnoopt15.sqm
03.03.2007 21:42 232 sqmdata15.sqm
03.03.2007 21:41 232 sqmdata14.sqm
03.03.2007 21:41 244 sqmnoopt14.sqm
03.03.2007 17:29 232 sqmdata13.sqm
03.03.2007 17:29 244 sqmnoopt13.sqm
03.03.2007 10:57 232 sqmdata12.sqm
03.03.2007 10:57 244 sqmnoopt12.sqm
02.03.2007 22:37 244 sqmnoopt11.sqm
02.03.2007 22:37 268 sqmdata11.sqm
02.03.2007 20:30 232 sqmdata10.sqm
02.03.2007 20:30 244 sqmnoopt10.sqm
02.03.2007 16:13 268 sqmdata09.sqm
02.03.2007 16:13 244 sqmnoopt09.sqm
02.03.2007 13:30 232 sqmdata08.sqm
02.03.2007 13:30 244 sqmnoopt08.sqm
02.03.2007 13:21 232 sqmdata07.sqm
02.03.2007 13:21 244 sqmnoopt07.sqm
04.09.2006 09:49 42.659.502 NIS2006DE_1und1DE.exe

--------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:29:11, on 04.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Schlecker Fotoservice\dd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\freenetMail Desktop Sync\freenetMail_Desktop_Sync.exe
C:\programme\voipcheap\voipcheap.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ArcSoft\TotalMedia\TMMonitor.exe
C:\hardcopy\Hardcopy\hardcopy.exe
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Andreas Ludwig\Eigene Dateien\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiso.uni-erlangen.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [Device Detection] C:\Programme\Schlecker Fotoservice\dd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [freenetMail Sync] "C:\Programme\freenetMail Desktop Sync\freenetMail_Desktop_Sync.exe" -S
O4 - HKCU\..\Run: [VoipCheap] "C:\programme\voipcheap\voipcheap.exe" -nosplash -minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Hardcopy.LNK = C:\hardcopy\Hardcopy\hardcopy.exe
O4 - Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: TMMonitor.lnk = C:\Programme\ArcSoft\TotalMedia\TMMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Seitenanfang Seitenende
04.04.2007, 19:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 andi_81

««
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{182B90A3-F372-438A-800C-6814B4DE417B}

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjk
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqp
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyabc
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccbcaw
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{182B90A3-F372-438A-800C-6814B4DE417B}

Files to delete:
C:\WINDOWS\system32\pqtwa.ini2
C:\WINDOWS\system32\pqtwa.bak2
C:\WINDOWS\system32\ulhacofn.dll
C:\WINDOWS\system32\agqkyqda.ini
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\pqtwa.tmp
C:\WINDOWS\system32\fccbcaw.dll
C:\WINDOWS\system32\ddcyabc.dll
C:\WINDOWS\system32\wreltdmc.dll
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\awtqp.dll
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\kjjlm.ini
C:\WINDOWS\system32\mljjk.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne und poste den report (in Quarantaene)
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 20:24
Member

Beiträge: 31
#29 So das sind jetzt glaub ich alle logs die ich senden sollte ;)
wenn etwas fehlt bitte melden
Vielen dank ;)


Hijack:

Es fehlten 2 Pfade die ich ankreuzen sollte, ansonsten hab ich alles gelöscht


Avenger:----------------------------
durchgelaufen:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yrqbhtjs

*******************

Script file located at: \??\C:\Program Files\lmcjnpwn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\_A00F4E2CB2.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\_A00F4E2CB2.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\_A00F4E2CB2.exe
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\wnd.tmp deleted successfully.
File C:\WINDOWS\system32\plugin1.dat deleted successfully.
File C:\WINDOWS\system32\helper.xml deleted successfully.


File C:\WINDOWS\system32\__c003390E.dat not found!
Deletion of file C:\WINDOWS\system32\__c003390E.dat failed!

Could not process line:
C:\WINDOWS\system32\__c003390E.dat
Status: 0xc0000034

File C:\WINDOWS\system32\__c00F64D9.dat deleted successfully.


File C:\WINDOWS\system32\__c00f64d9.dat not found!
Deletion of file C:\WINDOWS\system32\__c00f64d9.dat failed!

Could not process line:
C:\WINDOWS\system32\__c00f64d9.dat
Status: 0xc0000034

File C:\WINDOWS\system32\__c00a6329.dat deleted successfully.
File C:\WINDOWS\system32\9D46F00c__.ini deleted successfully.
File C:\WINDOWS\system32\E093300c__.ini deleted successfully.
File C:\WINDOWS\system32\D47B500c__.ini deleted successfully.
File C:\WINDOWS\smdat32m.sys deleted successfully.
File C:\WINDOWS\smdat32a.sys deleted successfully.


File C:\WINDOWS\system32\server.exe not found!
Deletion of file C:\WINDOWS\system32\server.exe failed!

Could not process line:
C:\WINDOWS\system32\server.exe
Status: 0xc0000034



File C:\svchost.exe not found!
Deletion of file C:\svchost.exe failed!

Could not process line:
C:\svchost.exe
Status: 0xc0000034

File C:\windlgs.exe deleted successfully.


File C:\WINDOWS\system32\mstrans1.dll not found!
Deletion of file C:\WINDOWS\system32\mstrans1.dll failed!

Could not process line:
C:\WINDOWS\system32\mstrans1.dll
Status: 0xc0000034

File C:\WINDOWS\system32\mstrans.dll deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Winexes
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Winexes failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|svchost
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|svchost failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|startkey
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|startkey failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundService
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundService failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0020F7A not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0020F7A failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c002AD84 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c002AD84 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0030E1C not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0030E1C failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0034D84 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0034D84 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0046299 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0046299 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0083C6A not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0083C6A failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0089C08 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0089C08 failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00A6329 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00AAA5A not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00AAA5A failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C65F8 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C65F8 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C8A2E not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C8A2E failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00F3572 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00F3572 failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Classes\CLSID\{890C7964-9320-4055-BE11-7D7B562A6417} not found!
Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{890C7964-9320-4055-BE11-7D7B562A6417} failed!
Status: 0xc0000034



Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{890C7964-9320-4055-BE11-7D7B562A6417} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{890C7964-9320-4055-BE11-7D7B562A6417} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



SDfix:--------------------


SDFix: Version 1.76

Run by Van Helsing - 04.04.2007 - 18:05:07,54

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\SysPr.prx - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Kerio Firewall\\Personal Firewall 4\\kpf4gui.exe"="C:\\Kerio Firewall\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI"
"C:\\ICQLite\\ICQLite.exe"="C:\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Skype\\Skype.exe"="C:\\Skype\\Skype.exe:*:Enabled:Skype"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\Van Helsing\Eigene Dateien\Eigene Musik\Fear Factory\Fear Factory - Demanufacture (Reissue 2005) - Metal [www.torrentazos.com]\Thumbs.db

Finished





catchme:-------------------------------

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Sophosreport:-----------------------------

Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 233337 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 19:25:31, System date 04 April 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

>>> Virus 'Mal/NetHelDl-A' found in file C:\Dokumente und Einstellungen\Van Helsing\Desktop\backups\backup-20070404-175228-927.dll
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Dokumente und Einstellungen\Van Helsing\Eigene Dateien\Key-Gen\Call of Duty 2 Key-Gen.exe
Removal successful
Could not open C:\hiberfil.sys
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
>>> Virus 'Mal/Packer' found in file C:\StarWars Republic Commando\Star Wars Republic Commando\Keygen\rld-srck.exe
Removal successful
>>> Virus 'Mal/Behav-101' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP29\A0033978.exe
Removal successful
>>> Virus 'Mal/NetHelDl-A' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042517.dll
Removal successful
>>> Virus 'Mal/NetHelDl-A' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042532.dll
Removal successful
>>> Virus 'Mal/NetHelDl-A' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042576.dll
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042577.exe
Removal successful
Could not open C:\WINDOWS\system32\drivers\sptd.sys
Could not open C:\WINDOWS\Temp\sqlite_6tWxghJMs0GxBNi

1 boot sector swept.
62895 files swept in 34 minutes and 14 seconds.
15 errors were encountered.
8 viruses were discovered.
8 files out of 62895 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
12 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
04.04.2007, 20:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Marci321

Key-Gen ;) - kein Wunder, dass der Rechner so verseucht war

«
scanne mit kaspersky und poste den report + das neue Log vom HijackThis
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: