TR/Dldr.agent.bca.13 uvm kommt immer wieder

#0
22.01.2007, 18:23
Member

Beiträge: 32
#1 Soooo meine lieben Leute, ich habe hier ein recht schwerwiegendes Problem: Der PC meines Bruders ist seit Monaten verseucht, und ich bin jezz erst home um mir das anzugucken... Einige Sachen sind schon passier (sprich: Es war schon seeehr viel schlimmer)... Momentan ists immer noch so, das etwa alle 2-3 Stunden Viren anklopfen und der Rechner verseucht ist, allerdings läuft der PC ansonsten einwandfrei...

Bei AntiVir erscheint immer mal wieder TR/Dldr.agent.bca.13. Egal ob Quarantäne oder Löschen, et kütt immer wieder aus der svchost.exe.
Kasparsky hat mir grad online zwei Viren gefunden, Spoofer.Win32.VB.f und Trojan.Win32.VB.ans.
In die Registry schreiben sich anscheinend lauter tolle Sachen, die immer wieder gelöscht werden, aber nach ner Zeit wiederkommen...

Hab keine Ahnung, was hier alles gemacht worden ist, scheint aber viel Dreck beseitigt worden zu sein... Ich hoffe, jemand von euch findet eine Spur, ich brauce nämlich einige erste Ansätze, um hier weiterzukommen... Freue mich über jede Hilfe!


Einige Infos:
Hijackthis scheint normal:

Logfile of HijackThis v1.99.1
Scan saved at 17:28:48, on 22.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: SU Toolbar Helper - {D44BBB61-E17F-4AE6-A502-8D7E0B29E616} - C:\WINDOWS\System32\s1918.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167944951343
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167946276671
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe


Combofix hat irgendetwas gelöscht, was in ner älteren Hijackthisfile aktiv war, anonsten hier die Log:

"Admin" - 07-01-22 17:22:05 Service Pack 2
ComboFix 07-01-21 - Running from: "C:\Dokumente und Einstellungen\Admin\Eigene Dateien\downloads"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\unsvchosts.lzma
C:\Programme\InetGet2
C:\Programme\Inetget2
C:\Programme\Ipwindows
C:\Programme\Gemeinsame Dateien\{882AE~1
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\WINDOWS\system32\ASEMBL~1


((((((((((((((((((((((((((((((( Files Created from 2006-12-22 to 2007-01-22 ))))))))))))))))))))))))))))))))))


2007-01-22 17:25 <DIR> d-------- C:\WINDOWS\erdnt
2007-01-08 18:10 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-01-07 16:04 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2007-01-07 16:04 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-01-07 16:04 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-01-07 16:04 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2007-01-07 16:04 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP
2007-01-07 16:04 <DIR> d-------- C:\Programme\Spyware Doctor
2007-01-07 16:04 <DIR> d-------- C:\DOKUME~1\Admin\Anwendungsdaten\PC Tools
2007-01-05 13:57 <DIR> d-------- C:\ac56efb68f47ad69da3f901c15
2007-01-05 10:49 <DIR> d-------- C:\Programme\MSXML 4.0
2007-01-05 10:41 128,232 --a------ C:\WINDOWS\system32\mucltui.dll
2007-01-04 23:38 <DIR> d-------- C:\WINDOWS\system32\ODCTOOLS
2007-01-04 23:21 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Windows Genuine Advantage
2007-01-04 23:21 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Office Genuine Advantage
2007-01-04 22:20 <DIR> d-------- C:\WINDOWS\system32\PreInstall
2007-01-04 22:10 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2007-01-04 22:10 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-01-04 22:08 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2007-01-04 22:00 <DIR> d-------- C:\WINDOWS\Prefetch
2007-01-04 21:55 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-01-04 21:54 95,424 --------- C:\WINDOWS\system32\drivers\slnthal.sys
2007-01-04 21:54 9,728 --------- C:\WINDOWS\system32\proxycfg.exe
2007-01-04 21:54 870,784 --------- C:\WINDOWS\system32\ati3d1ag.dll
2007-01-04 21:54 86,016 --------- C:\WINDOWS\system32\mdmxsdk.dll
2007-01-04 21:54 81,920 --------- C:\WINDOWS\system32\ieencode.dll
2007-01-04 21:54 81,408 --------- C:\WINDOWS\system32\wscsvc.dll
2007-01-04 21:54 8,192 --------- C:\WINDOWS\system32\smbinst.exe
2007-01-04 21:54 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-01-04 21:54 78,464 --------- C:\WINDOWS\system32\drivers\usbvideo.sys
2007-01-04 21:54 75,776 --------- C:\WINDOWS\system32\strmfilt.dll
2007-01-04 21:54 73,832 --------- C:\WINDOWS\system32\slcoinst.dll
2007-01-04 21:54 73,796 --------- C:\WINDOWS\system32\slserv.exe
2007-01-04 21:54 73,216 --------- C:\WINDOWS\system32\drivers\atintuxx.sys
2007-01-04 21:54 71,680 --------- C:\WINDOWS\system32\blastcln.exe
2007-01-04 21:54 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-01-04 21:54 7,680 --------- C:\WINDOWS\system32\kbdsmsno.dll
2007-01-04 21:54 7,680 --------- C:\WINDOWS\system32\kbdsmsfi.dll
2007-01-04 21:54 7,168 --------- C:\WINDOWS\system32\kbdukx.dll
2007-01-04 21:54 7,168 --------- C:\WINDOWS\system32\kbdno1.dll
2007-01-04 21:54 7,168 --------- C:\WINDOWS\system32\kbdfi1.dll
2007-01-04 21:54 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-01-04 21:54 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2007-01-04 21:54 67,584 --------- C:\WINDOWS\system32\drivers\sdbus.sys
2007-01-04 21:54 63,663 --------- C:\WINDOWS\system32\drivers\ati1rvxx.sys
2007-01-04 21:54 63,488 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys
2007-01-04 21:54 61,440 --------- C:\WINDOWS\system32\logman.exe
2007-01-04 21:54 60,416 --------- C:\WINDOWS\system32\fwcfg.dll
2007-01-04 21:54 6,656 --------- C:\WINDOWS\system32\kbdinmal.dll
2007-01-04 21:54 6,656 --------- C:\WINDOWS\system32\kbdinben.dll
2007-01-04 21:54 6,144 --------- C:\WINDOWS\system32\kbdmlt48.dll
2007-01-04 21:54 6,144 --------- C:\WINDOWS\system32\kbdmlt47.dll
2007-01-04 21:54 6,144 --------- C:\WINDOWS\system32\kbdinbe1.dll
2007-01-04 21:54 6,016 --------- C:\WINDOWS\system32\drivers\smbali.sys
2007-01-04 21:54 59,648 --------- C:\WINDOWS\system32\drivers\rfcomm.sys
2007-01-04 21:54 57,856 --------- C:\WINDOWS\system32\drivers\atinbtxx.sys
2007-01-04 21:54 56,623 --------- C:\WINDOWS\system32\drivers\ati1btxx.sys
2007-01-04 21:54 52,224 --------- C:\WINDOWS\system32\drivers\atinraxx.sys
2007-01-04 21:54 516,768 --------- C:\WINDOWS\system32\ativvaxx.dll
2007-01-04 21:54 50,688 --------- C:\WINDOWS\system32\btpanui.dll
2007-01-04 21:54 50,176 --------- C:\WINDOWS\system32\xmlprovi.dll
2007-01-04 21:54 5,632 --------- C:\WINDOWS\system32\kbdmaori.dll
2007-01-04 21:54 49,152 --------- C:\WINDOWS\system32\powercfg.exe
2007-01-04 21:54 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2007-01-04 21:54 46,464 --------- C:\WINDOWS\system32\drivers\gagp30kx.sys
2007-01-04 21:54 452,736 --------- C:\WINDOWS\system32\drivers\mtxparhm.sys
2007-01-04 21:54 44,928 --------- C:\WINDOWS\system32\drivers\agpcpq.sys
2007-01-04 21:54 44,672 --------- C:\WINDOWS\system32\drivers\uagp35.sys
2007-01-04 21:54 44,032 --------- C:\WINDOWS\system32\twext.dll
2007-01-04 21:54 43,008 --------- C:\WINDOWS\system32\drivers\amdagp.sys
2007-01-04 21:54 42,752 --------- C:\WINDOWS\system32\drivers\alim1541.sys
2007-01-04 21:54 42,368 --------- C:\WINDOWS\system32\drivers\agp440.sys
2007-01-04 21:54 42,240 --------- C:\WINDOWS\system32\drivers\viaagp.sys
2007-01-04 21:54 41,240 --a------ C:\WINDOWS\system32\wups.dll
2007-01-04 21:54 41,088 --------- C:\WINDOWS\system32\drivers\sisagp.sys
2007-01-04 21:54 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys
2007-01-04 21:54 40,192 --------- C:\WINDOWS\system32\drivers\intelppm.sys
2007-01-04 21:54 4,255 --------- C:\WINDOWS\system32\drivers\adv01nt5.dll
2007-01-04 21:54 397,056 --------- C:\WINDOWS\system32\s3gnb.dll
2007-01-04 21:54 38,016 --------- C:\WINDOWS\system32\drivers\bthmodem.sys
2007-01-04 21:54 377,984 --------- C:\WINDOWS\system32\ati2dvaa.dll
2007-01-04 21:54 36,463 --------- C:\WINDOWS\system32\drivers\ati1tuxx.sys
2007-01-04 21:54 35,456 --------- C:\WINDOWS\system32\drivers\bthprint.sys
2007-01-04 21:54 34,735 --------- C:\WINDOWS\system32\drivers\ati1xsxx.sys
2007-01-04 21:54 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
2007-01-04 21:54 32,866 --------- C:\WINDOWS\system32\slrundll.exe
2007-01-04 21:54 32,866 --------- C:\WINDOWS\slrundll.exe
2007-01-04 21:54 32,768 --------- C:\WINDOWS\system32\ativtmxx.dll
2007-01-04 21:54 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll
2007-01-04 21:54 31,744 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys
2007-01-04 21:54 30,671 --------- C:\WINDOWS\system32\drivers\ati1raxx.sys
2007-01-04 21:54 30,208 --------- C:\WINDOWS\system32\bthserv.dll
2007-01-04 21:54 30,080 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2007-01-04 21:54 3,967 --------- C:\WINDOWS\system32\drivers\adv02nt5.dll
2007-01-04 21:54 3,901 --------- C:\WINDOWS\system32\drivers\siint5.dll
2007-01-04 21:54 3,775 --------- C:\WINDOWS\system32\drivers\adv11nt5.dll
2007-01-04 21:54 3,711 --------- C:\WINDOWS\system32\drivers\adv09nt5.dll
2007-01-04 21:54 3,647 --------- C:\WINDOWS\system32\drivers\adv07nt5.dll
2007-01-04 21:54 3,615 --------- C:\WINDOWS\system32\drivers\adv05nt5.dll
2007-01-04 21:54 3,135 --------- C:\WINDOWS\system32\drivers\adv08nt5.dll
2007-01-04 21:54 29,455 --------- C:\WINDOWS\system32\drivers\ati1xbxx.sys
2007-01-04 21:54 29,184 --------- C:\WINDOWS\system32\sdhcinst.dll
2007-01-04 21:54 286,792 --------- C:\WINDOWS\system32\slextspk.dll
2007-01-04 21:54 28,672 --------- C:\WINDOWS\system32\drivers\atinsnxx.sys
2007-01-04 21:54 275,200 --------- C:\WINDOWS\system32\drivers\bthport.sys
2007-01-04 21:54 262,784 --------- C:\WINDOWS\system32\drivers\http.sys
2007-01-04 21:54 26,367 --------- C:\WINDOWS\system32\drivers\ati1snxx.sys
2007-01-04 21:54 25,856 --------- C:\WINDOWS\system32\drivers\hidbth.sys
2007-01-04 21:54 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys
2007-01-04 21:54 25,471 --------- C:\WINDOWS\system32\drivers\atv04nt5.dll
2007-01-04 21:54 24,576 --------- C:\WINDOWS\system32\httpapi.dll
2007-01-04 21:54 23,040 --a------ C:\WINDOWS\system32\fltmc.exe
2007-01-04 21:54 229,376 --------- C:\WINDOWS\system32\ati2cqag.dll
2007-01-04 21:54 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2007-01-04 21:54 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys
2007-01-04 21:54 21,343 --------- C:\WINDOWS\system32\drivers\ati1ttxx.sys
2007-01-04 21:54 21,183 --------- C:\WINDOWS\system32\drivers\atv01nt5.dll
2007-01-04 21:54 201,728 --------- C:\WINDOWS\system32\ati2dvag.dll
2007-01-04 21:54 20,992 --------- C:\WINDOWS\system32\bthci.dll
2007-01-04 21:54 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-01-04 21:54 193,024 --------- C:\WINDOWS\system32\fsquirt.exe
2007-01-04 21:54 188,508 --------- C:\WINDOWS\system32\slgen.dll
2007-01-04 21:54 180,360 --------- C:\WINDOWS\system32\drivers\ntmtlfax.sys
2007-01-04 21:54 18,944 --------- C:\WINDOWS\system32\drivers\bthusb.sys
2007-01-04 21:54 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-01-04 21:54 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
2007-01-04 21:54 17,408 --------- C:\WINDOWS\system32\winshfhc.dll
2007-01-04 21:54 17,279 --------- C:\WINDOWS\system32\drivers\atv10nt5.dll
2007-01-04 21:54 17,024 --------- C:\WINDOWS\system32\drivers\bthenum.sys
2007-01-04 21:54 166,912 --------- C:\WINDOWS\system32\drivers\s3gnbm.sys
2007-01-04 21:54 16,896 --a------ C:\WINDOWS\system32\fltlib.dll
2007-01-04 21:54 15,872 --------- C:\WINDOWS\system32\w3ssl.dll
2007-01-04 21:54 15,488 --------- C:\WINDOWS\system32\drivers\mssmbios.sys
2007-01-04 21:54 15,423 --------- C:\WINDOWS\system32\drivers\ch7xxnt5.dll
2007-01-04 21:54 15,104 --------- C:\WINDOWS\system32\drivers\hidir.sys
2007-01-04 21:54 14,336 --------- C:\WINDOWS\system32\drivers\atinpdxx.sys
2007-01-04 21:54 14,336 --------- C:\WINDOWS\system32\auditusr.exe
2007-01-04 21:54 14,143 --------- C:\WINDOWS\system32\drivers\atv06nt5.dll
2007-01-04 21:54 13,824 --------- C:\WINDOWS\system32\wscntfy.exe
2007-01-04 21:54 13,824 --------- C:\WINDOWS\system32\drivers\atinttxx.sys
2007-01-04 21:54 13,824 --------- C:\WINDOWS\system32\drivers\atinmdxx.sys
2007-01-04 21:54 13,824 --------- C:\WINDOWS\system32\cmsetacl.dll
2007-01-04 21:54 13,776 --------- C:\WINDOWS\system32\drivers\recagent.sys
2007-01-04 21:54 13,568 --------- C:\WINDOWS\system32\drivers\wacompen.sys
2007-01-04 21:54 13,240 --------- C:\WINDOWS\system32\drivers\slwdmsup.sys
2007-01-04 21:54 129,536 --------- C:\WINDOWS\system32\xmlprov.dll
2007-01-04 21:54 129,535 --------- C:\WINDOWS\system32\drivers\slnt7554.sys
2007-01-04 21:54 128,896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2007-01-04 21:54 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2007-01-04 21:54 126,686 --------- C:\WINDOWS\system32\drivers\mtlmnt5.sys
2007-01-04 21:54 12,672 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2007-01-04 21:54 12,672 --------- C:\WINDOWS\system32\drivers\mutohpen.sys
2007-01-04 21:54 12,047 --------- C:\WINDOWS\system32\drivers\ati1pdxx.sys
2007-01-04 21:54 118,784 --------- C:\WINDOWS\system32\msdadiag.dll
2007-01-04 21:54 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys
2007-01-04 21:54 11,871 --------- C:\WINDOWS\system32\drivers\wadv09nt.sys
2007-01-04 21:54 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2007-01-04 21:54 11,807 --------- C:\WINDOWS\system32\drivers\wadv07nt.sys
2007-01-04 21:54 11,615 --------- C:\WINDOWS\system32\drivers\ati1mdxx.sys
2007-01-04 21:54 11,359 --------- C:\WINDOWS\system32\drivers\atv02nt5.dll
2007-01-04 21:54 11,325 --------- C:\WINDOWS\system32\drivers\vchnt5.dll
2007-01-04 21:54 11,295 --------- C:\WINDOWS\system32\drivers\wadv08nt.sys
2007-01-04 21:54 11,136 --------- C:\WINDOWS\system32\drivers\sffdisk.sys
2007-01-04 21:54 108,032 --------- C:\WINDOWS\system32\wshbth.dll
2007-01-04 21:54 104,960 --------- C:\WINDOWS\system32\drivers\atinrvxx.sys
2007-01-04 21:54 100,992 --------- C:\WINDOWS\system32\drivers\bthpan.sys
2007-01-04 21:54 10,240 --------- C:\WINDOWS\system32\drivers\sffp_sd.sys
2007-01-04 21:54 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll
2007-01-04 21:54 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2007-01-04 21:54 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2007-01-04 21:54 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2007-01-04 21:54 <DIR> d-------- C:\WINDOWS\provisioning
2007-01-04 21:52 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-01-04 21:48 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-01-04 21:45 <DIR> d-------- C:\WINDOWS\EHome
2007-01-03 16:55 <DIR> d-------- C:\Programme\Poker Skins


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-22 17:17 -------- d-------- C:\Programme\mozilla firefox
2007-01-21 18:17 54344 --a------ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\gdipfontcachev1.dat
2007-01-20 18:55 -------- d-------- C:\Programme\trillian
2007-01-19 20:42 -------- d-------- C:\Programme\pokerstars
2007-01-19 18:22 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\adobe
2007-01-10 23:26 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\skype
2007-01-07 16:04 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\pc tools
2007-01-05 13:59 -------- d-------- C:\Programme\messenger
2007-01-05 10:41 -------- d--h----- C:\Programme\windowsupdate
2007-01-04 21:54 -------- d-------- C:\Programme\movie maker
2007-01-04 21:51 -------- d-------- C:\Programme\windows nt
2007-01-04 19:50 -------- d-------- C:\Programme\azureus
2007-01-04 13:50 -------- d-------- C:\Programme\antivir personaledition classic
2006-12-26 21:12 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-26 21:12 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-18 22:38 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\meine die schlacht um mittelerde-dateien
2006-12-18 22:20 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\openoffice.org2
2006-12-09 17:22 -------- d-------- C:\Programme\java
2006-12-08 15:34 -------- d-------- C:\Programme\itunes
2006-12-08 15:34 -------- d-------- C:\Programme\ipod
2006-12-08 15:33 -------- d-------- C:\Programme\quicktime
2006-12-08 15:32 -------- d-------- C:\Programme\apple software update
2006-12-07 17:02 2174976 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-03 16:13 -------- d-------- C:\Programme\kodak
2006-12-03 16:12 -------- d-------- C:\Programme\Gemeinsame Dateien\kodak
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"Logitech Utility"="Logi_MwX.Exe"
"KeyBoard"="C:\\PROGRA~1\\Labtec\\LABTEC~1\\Keyboard.exe"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"=""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Spyware Doctor"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"_NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source REG_SZ http://www.fhm.com/site/calendargirls/s3/december2005/img/desktops/desk/1024_1.jpg

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_MCHINJDRV


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 07-01-22 17:27:05


Filelist.bat gibt folgende Aktivitäten für den letzten Monat an, wobei das Problem glaub ich eher weiter zurück liegt:
Verzeichnis von C:\

22.01.2007 18:20 43 filelist.txt
22.01.2007 17:27 17.934 ComboFix.txt
22.01.2007 17:26 805.306.368 pagefile.sys
07.01.2007 14:48 5.120 Thumbs.db
04.01.2007 21:55 211 boot.ini
04.01.2007 21:49 47.564 NTDETECT.COM
04.01.2007 21:49 251.184 ntldr


Verzeichnis von C:\WINDOWS\system32

22.01.2007 17:27 3.733 nvapps.xml
22.01.2007 17:26 19.086 ikhcore.log
22.01.2007 16:20 13.646 wpa.dbl
05.01.2007 16:02 52.764 perfc009.dat
05.01.2007 16:02 380.350 perfh009.dat
05.01.2007 16:02 63.580 perfc007.dat
05.01.2007 16:02 391.000 perfh007.dat
05.01.2007 16:02 897.954 PerfStringBackup.INI
04.01.2007 22:06 234.368 FNTCACHE.DAT
04.01.2007 22:00 90 spupdwxp.log

Verzeichnis von C:\WINDOWS\Prefetch

22.01.2007 18:20 12.626 FIND.EXE-0EC32F1E.pf
22.01.2007 18:20 21.514 CMD.EXE-087B4001.pf
22.01.2007 18:18 41.692 AVCENTER.EXE-37584419.pf
22.01.2007 18:05 52.562 AVSCAN.EXE-05AECC0E.pf
22.01.2007 18:03 87.836 FIREFOX.EXE-1D57670A.pf
22.01.2007 17:35 99.826 IEXPLORE.EXE-2CA9778D.pf
22.01.2007 17:28 18.628 NOTEPAD.EXE-336351A9.pf
22.01.2007 17:28 15.458 HIJACKTHIS.EXE-242FC887.pf
22.01.2007 17:28 42.124 WINRAR.EXE-3588DFE8.pf
22.01.2007 17:28 16.536 VERCLSID.EXE-3667BD89.pf
22.01.2007 17:27 12.076 COMBOFIX.EXE-36397029.pf
22.01.2007 17:27 12.340 FINDSTR.EXE-0CA6274B.pf
22.01.2007 17:27 917.386 NTOSBOOT-B00DFAAD.pf
22.01.2007 17:25 56.846 RESTARTIT.EXE-3A56CC6C.pf
22.01.2007 17:25 31.140 ERDNT.EXE-1C370E1D.pf
22.01.2007 17:25 9.408 NIRCMD.EXE-1FB8FB94.pf
22.01.2007 17:25 12.166 REGEDIT.COM-23D7A2FA.pf
22.01.2007 17:25 2.892 MOVEEX.EXE-16262ADC.pf
22.01.2007 17:25 7.082 HANDLE.EXE-220AF315.pf
22.01.2007 17:25 14.024 AT.EXE-2770DD18.pf
22.01.2007 17:25 12.736 NTP.EXE-0BE252EC.pf
22.01.2007 17:25 7.124 SWSC.EXE-04769C19.pf
22.01.2007 17:25 54.760 ATTRIB.EXE-39EAFB02.pf
22.01.2007 17:25 7.418 CHCP.COM-18156052.pf
22.01.2007 17:25 9.834 NIRCMD.EXE-22AC7776.pf
22.01.2007 17:24 44.636 VFIND.EXE-17C110A9.pf
22.01.2007 17:24 9.020 SWREG.EXE-298CB0F2.pf
22.01.2007 17:21 12.334 COMBOFIX.EXE-083DE5DA.pf
22.01.2007 17:21 9.742 NIRCMD.EXE-07543701.pf
22.01.2007 17:21 8.196 SWREG.EXE-0D316933.pf
22.01.2007 17:05 7.202 UPDATE.EXE-02205C3C.pf
22.01.2007 17:01 20.212 GUARDGUI.EXE-1BD45C30.pf
22.01.2007 17:01 12.270 UPD34.EXE-1A5886C1.pf
22.01.2007 17:01 9.572 UNSVCHOSTS.EXE-2BA40E9C.pf
22.01.2007 16:57 23.922 REGCLEANR.EXE-10DDC304.pf
22.01.2007 16:57 86.718 SPYBOTSD.EXE-1D495A65.pf
22.01.2007 16:57 22.376 WUAUCLT.EXE-399A8E72.pf
22.01.2007 16:48 14.720 RUNDLL32.EXE-451FC2C0.pf
22.01.2007 16:42 17.298 HIJACKTHIS.EXE-3A3886DF.pf
22.01.2007 16:37 34.192 TASKMGR.EXE-20256C55.pf
22.01.2007 16:36 104.652 AVNOTIFY.EXE-22AE9451.pf
22.01.2007 16:35 79.960 RUNDLL32.EXE-13404D23.pf
22.01.2007 16:29 15.908 WHINSTALLER.EXE-3798F6B4.pf
21.01.2007 21:15 80.226 WMIPRVSE.EXE-28F301A9.pf
21.01.2007 21:15 85.560 HELPSVC.EXE-2878DDA2.pf
21.01.2007 19:59 81.276 POWERPNT.EXE-019F2E3D.pf
21.01.2007 19:35 94.588 DFRGNTFS.EXE-269967DF.pf
21.01.2007 19:35 17.322 DEFRAG.EXE-273F131E.pf
21.01.2007 19:35 477.446 Layout.ini
21.01.2007 18:52 66.304 EXPLORER.EXE-082F38A9.pf
21.01.2007 18:45 82.586 WINWORD.EXE-259486DA.pf
21.01.2007 16:51 76.850 TRILLIAN.EXE-190B593A.pf
21.01.2007 16:49 80.452 IMAGEREADY.EXE-1383EE96.pf
21.01.2007 16:33 85.184 ACRORD32.EXE-2525A870.pf
21.01.2007 13:15 32.680 WISPTIS.EXE-0C21B942.pf
21.01.2007 13:03 25.262 AVGNT.EXE-36CA4640.pf
21.01.2007 13:03 53.534 UPDATE.EXE-13D57D76.pf
21.01.2007 13:03 46.816 PREUPD.EXE-358AA1C1.pf
21.01.2007 12:33 24.340 CSC.EXE-1113BFA6.pf
21.01.2007 12:33 9.056 CVTRES.EXE-13DEB540.pf
21.01.2007 12:31 10.260 WHAGENT.EXE-33B2D233.pf
21.01.2007 12:31 80.558 HATTRICK BUDDY.EXE-14F1C400.pf
21.01.2007 12:31 41.852 B129.EXE-07AE87AA.pf
21.01.2007 12:31 18.938 WHINSTALLER.EXE-2F5D72F0.pf
21.01.2007 01:32 23.280 LOGONUI.EXE-0AF22957.pf
21.01.2007 00:45 58.318 WMPLAYER.EXE-09969336.pf
21.01.2007 00:45 41.160 UNREGMP2.EXE-07CACB61.pf
21.01.2007 00:45 23.944 SETUP_WM.EXE-19AC5A9F.pf
20.01.2007 15:47 17.062 CTFMON.EXE-0E17969B.pf
20.01.2007 15:45 17.614 NOTEPAD.EXE-189578DA.pf
20.01.2007 15:11 25.012 RUNDLL32.EXE-188DF14E.pf
20.01.2007 15:11 18.260 RUNDLL32.EXE-2F75DBDA.pf
20.01.2007 13:43 73.996 JAVAW.EXE-1DA9F6E6.pf
20.01.2007 13:07 58.248 SOFTWAREUPDATE.EXE-1E90DF1F.pf
19.01.2007 21:09 20.598 IPCONFIG.EXE-2395F30B.pf
19.01.2007 20:42 47.402 POKERSTARS.EXE-25DA8FFD.pf
19.01.2007 19:40 90.280 ITUNES.EXE-15E88941.pf
19.01.2007 18:18 46.766 PHOTOSHOP.EXE-0E12974A.pf
19.01.2007 18:18 16.396 RUNDLL32.EXE-25E291C8.pf
18.01.2007 22:05 17.110 SNDVOL32.EXE-383480B7.pf
18.01.2007 18:12 33.462 MMC.EXE-1EF9AA05.pf
18.01.2007 17:20 24.546 SCHED.EXE-236A886F.pf
18.01.2007 17:20 9.594 AVGUARD.EXE-3490B18B.pf
18.01.2007 17:20 29.552 UPDATE.EXE-287D898A.pf
18.01.2007 17:07 12.280 UPDATE.EXE-334BAC79.pf
18.01.2007 16:56 17.496 RUNDLL32.EXE-17314629.pf
17.01.2007 23:03 44.606 RUNDLL32.EXE-147710F4.pf
17.01.2007 18:17 72.460 WINAMP.EXE-08C38ED9.pf
16.01.2007 21:31 23.470 RUNDLL32.EXE-2A94BB85.pf
16.01.2007 21:28 61.638 ICYTOWER.EXE-0B5BBB03.pf
15.01.2007 22:51 22.708 PROTEINBIOSYNTHESE.EXE-1CD57C0C.pf
15.01.2007 22:50 12.616 PBSSTART.EXE-2785B7DB.pf
15.01.2007 22:49 17.486 IMAPI.EXE-0BF740A4.pf
15.01.2007 22:49 17.528 NERO.EXE-32314E31.pf
15.01.2007 21:10 7.846 PROTEINBIOSYNTHESE.EXE-0E3F1265.pf
15.01.2007 21:10 12.604 PBSSTART.EXE-02C25206.pf
15.01.2007 15:33 39.866 POKERSTARSUPDATE.EXE-25C75939.pf
15.01.2007 14:25 57.468 CRAZYMACHINES.EXE-3550974C.pf
15.01.2007 14:24 11.252 ~E5.0001-1868BC18.pf
15.01.2007 14:24 26.472 SPEED2.EXE-03CBCA0A.pf
15.01.2007 14:24 25.422 SIMS2.EXE-07158D7A.pf
15.01.2007 14:21 24.202 RUNDLL32.EXE-2B50F448.pf
11.01.2007 22:31 13.684 REGSVR32.EXE-25EEFE2F.pf
103 Datei(en) 4.893.758 Bytes
0 Verzeichnis(se), 25.083.420.672 Bytes frei

Verzeichnis von C:\WINDOWS

22.01.2007 17:39 458.496 setupapi.log
22.01.2007 17:26 1.258.079 WindowsUpdate.log
22.01.2007 17:26 159 wiadebug.log
22.01.2007 17:26 50 wiaservc.log
22.01.2007 17:26 0 0.log
22.01.2007 17:26 2.048 bootstat.dat
22.01.2007 16:55 32.580 SchedLgU.Txt
21.01.2007 00:45 161.213 wmsetup.log
18.01.2007 16:56 177.650 setupact.log
17.01.2007 18:18 1.125 winamp.ini
10.01.2007 17:09 511 wmsetup10.log
05.01.2007 16:01 29.797 spupdsvc.log
05.01.2007 14:02 91.873 iis6.log
05.01.2007 14:02 210.718 comsetup.log
05.01.2007 14:02 129.258 ntdtcsetup.log
05.01.2007 14:02 31.184 ocmsn.log
05.01.2007 14:02 240.385 tsoc.log
05.01.2007 14:02 1.355 imsins.log
05.01.2007 14:02 36.679 KB899587.log
05.01.2007 14:02 323.905 ocgen.log
05.01.2007 14:02 31.054 msgsocm.log
05.01.2007 14:02 598.049 FaxSetup.log
05.01.2007 14:02 18.727 updspapi.log
05.01.2007 14:02 1.355 imsins.BAK
04.01.2007 22:07 1.174 OEWABLog.txt
04.01.2007 22:01 360 DtcInstall.log
04.01.2007 22:01 316.640 WMSysPr9.prx
04.01.2007 21:59 405.283 svcpack.log
04.01.2007 21:58 183.278 KB896424.log
04.01.2007 21:55 200 cmsetacl.log
04.01.2007 21:55 735.274 setuplog.txt
04.01.2007 21:54 1.330 sessmgr.setup.log
04.01.2007 21:46 565 medctroc.Log
03.01.2007 12:34 65.536 DUMP4362.tmp

Sonst noch was nützliches?

Vielen Dank für alle Ideen... MfG



«
Seitenanfang Seitenende
23.01.2007, 11:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 spiderfab

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2007, 14:35
Member

Themenstarter

Beiträge: 32
#3 Hi, danke für Deine Hilfe im Voraus, hier die gewünschte Textstelle:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 23.01.2007 14:35:26 for strings:
; '{d44bbb61-e17f-4ae6-a502-8d7e0b29e616}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\StumbleUpon.BrowserHelper\CLSID]
@="{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\StumbleUpon.BrowserHelper.1\CLSID]
@="{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}\iexplore]

; End Of The Log...
Seitenanfang Seitenende
23.01.2007, 15:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 spiderfab

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

(berichte, ob die reg-Datei funktioniert hat)
---------------------------------------------------------------------------------------------------------------

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\StumbleUpon.BrowserHelper\CLSID]
@="{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}"=-
"{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\StumbleUpon.BrowserHelper.1\CLSID]
@="{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}"=-
"{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}]

-------------------------------------------------------------------------------------------------------------------

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein: (ohne "Zitat" )

Zitat

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D44BBB61-E17F-4AE6-A502-8D7E0B29E616}

Files to delete:
C:\WINDOWS\System32\s1918.dll
--------

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
»»

scanne mit sophos (option 6) - und poste den scanreport
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2007, 18:20
Member

Themenstarter

Beiträge: 32
#5 Hi,

1) Regedit/Fix hat wundervoll geklappt.

2) Avenger dito wundervoll

3)
Sophos Anti-Virus
Version 4.13.0 [Win32/Intel]
Virus data version 4.13, January 2007
Includes detection for 209193 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

Full Scanning

Aborted checking C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Aron\Fotos.zip - appears to be a 'zip bomb'
Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\ENU\RdrMsgENU.pdf
Aborted checking C:\Programme\Rockstar Games\GTA San Andreas\audio\SFX\SPC_GA - appears to be a 'zip bomb'
>>> Virus 'Troj/VB-CBA' found in file C:\WINDOWS\system32\dhcp\winlogon.exe
Removal successful

1 boot sector swept.
40586 files swept in 35 minutes and 43 seconds.
4 errors were encountered.
1 virus was discovered.
1 file out of 40586 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
2 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
24.01.2007, 00:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 spiderfab

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 14:42
Member

Themenstarter

Beiträge: 32
#7 -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 24. Januar 2007 14:44:32
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 24/01/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 261294
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\Admin\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 16719
Viren gefunden: 1
Infizierte Objekte gefunden: 1 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:13:59

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\inf\dllhost.exe Infizierte Objekte: Trojan.Win32.VB.ans übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.[/b]
Seitenanfang Seitenende
24.01.2007, 15:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 spiderfab

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Folders to delete:
C:\WINDOWS\erdnt
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


««
bankerfix
ist eine brasilianische seite, das Tool ist sicher, wird vielleicht von deinem Antivirenproggie raklamiert, nach der Reinigung loesche es wieder
http://linhadefensiva.uol.com.br/forum/index.php?showtopic=15496&st=0&#entry73404
http://forum.ievolution.com.br/lofiversion/index.php/t1821.html

bankerfix
lade , wende an und poste den report
http://linhadefensiva.uol.com.br/dl/bankerfix

«
sdfix
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"


unter C:\ findet man nun den SDFix-Ordner

++++++++++++++++++
boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 16:09
Member

Themenstarter

Beiträge: 32
#9 1) Avenger lief problemlos

2) Bankerfix

Nichts passiert, folgender Text (kein Report, aus der DOS-Ebene abgetippt):

Execucao concluida com exito!!

Nenhum problema foi encontrando no seu computador.
Isso nao significa que o seu computador esta realmente
livre de Bankers, pois novos arquivos maliciosos surgem
toda semana.

Caso ainda tenha suspeitas ou duvidas, visite o Forum Linha Defensiva
Und dann n Link...

3) SDFix im Abgesicherten Modus:


SDFix: Version 1.62

24.01.2007 - 16:02:10,39

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Files Found..

Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\Media\\winlogon.exe"="C:\\WINDOWS\\Media\\winlogon.exe:*:Enabled:msn"
"C:\\WINDOWS\\Media\\lsass.exe"="C:\\WINDOWS\\Media\\lsass.exe:*:Enabled:SondBlaster"
"C:\\WINDOWS\\Media\\ethernet.exe"="C:\\WINDOWS\\Media\\ethernet.exe:*:Enabled:InternetExplorer"
"C:\\WINDOWS\\inf\\winf.exe"="C:\\WINDOWS\\inf\\winf.exe:*:Enabled:SetupManager"
"C:\\WINDOWS\\inf\\dllhost.exe"="C:\\WINDOWS\\inf\\dllhost.exe:*:Enabled;)LLhost"
"C:\\WINDOWS\\inf\\showinf.exe"="C:\\WINDOWS\\inf\\showinf.exe:*:Enabled:inf"
"C:\\WINDOWS\\system32\\dhcp\\winlogon.exe"="C:\\WINDOWS\\system32\\dhcp\\winlogon.exe:*:Enabled:AOL"
"C:\\WINDOWS\\system32\\dhcp\\lsass.exe"="C:\\WINDOWS\\system32\\dhcp\\lsass.exe:*:Enabled:SondxBlaster"
"C:\\WINDOWS\\system32\\dhcp\\drivers.exe"="C:\\WINDOWS\\system32\\dhcp\\drivers.exe:*:Enabled:InternetxExplorer"
"C:\\WINDOWS\\Installer\\winf.exe"="C:\\WINDOWS\\Installer\\winf.exe:*:Enabled:SetupxManager"
"C:\\WINDOWS\\Installer\\dllhost.exe"="C:\\WINDOWS\\Installer\\dllhost.exe:*:Enabled;)LLhost"
"C:\\WINDOWS\\system32\\mui\\svchost.exe"="C:\\WINDOWS\\system32\\mui\\svchost.exe:*:Enabled:SondxBlaster"
"C:\\WINDOWS\\system32\\mui\\print.exe"="C:\\WINDOWS\\system32\\mui\\print.exe:*:Enabled:InternetxExplorer"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*;)isabled:Trillian"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Programme\Messenger\msmsgs.exe
C:\Programme\Picasa2\setup.exe
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\Dokumente und Einstellungen\Admin\Desktop\Aron-NewYORK-Theda\101D-CAM\SIV1C1.tmp
C:\Dokumente und Einstellungen\Admin\Desktop\Aron-NewYORK-Theda\101D-CAM\SIV3D.tmp
C:\Dokumente und Einstellungen\Admin\Desktop\Aron-NewYORK-Theda\101D-CAM\SIV684.tmp
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\101D-CAM\SIV1C1.tmp
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\101D-CAM\SIV3D.tmp
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\101D-CAM\SIV684.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\04c2d1dfcab07b7a2e1cd783bd1a4b98\BIT21.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\067885ad8e190299e3c0c12c8a2375d5\download\BIT56.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0bd2e0f2d4ac84cb01434be069ad6706\BIT34.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0cb5f0eba2109515a4a62bedbad7c294\BIT19.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1212f8f34d215ae56eb09c5cccc88908\BIT33.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\16a6e926762ae7bd768d9ef1ba94c232\BIT2C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1909286407405d5d73be1130e1bc431f\BIT1B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1af7ea2ce5f68313959feea3558dfbe7\BIT44.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1d89172dbe4441fe29671865aaf6e82c\BIT29.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1d9747aac218e6aee28c1944d08d62ce\BIT30.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2bf5fa7530b3dc625e3bc850faa4f61f\BIT1C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c0d6ae612bf2508e86d63ab316e1a62\download\BIT1F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c46c87988cc9b3fca2263f0b4783356\download\BIT50.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c7b0348f7e19a2a2fc4a5bf57750180\download\BIT51.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d767ee61363ff58f5b995bfc325d608\BIT2D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2e2698573b22a1d5d0050ceeddb7a7f4\BIT3A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2ee9b70eeb7de29d7dfb284c7d9ef9d0\BIT46.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\41adb065561b157a2eefd42a3fcdd94b\BIT2A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\44ac99a9530bf66ba18f9e0ba7ddf768\BIT3B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\454de24695b7f7840ad386c2a048b9eb\download\BIT4D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\47d7faee519e0249568888290f7f7d91\BIT40.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\492b0716057b62f63c30a9d5cef2e312\download\BIT5B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4fec5b7f793ed44951ec4e5dc8b9c57a\download\BIT5A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\53caff40a6229dd8ec52189dac1581db\BIT47.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\54cbfb4e3e4b0e850181e6fe045a0565\BIT3F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\55e02b12277b70d9f7c81ccdab9956d1\download\BIT48.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\57508d1d1eac3e971857a1eca74af711\BIT38.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\625bb891c8b0844ec9592048341ef3fd\download\BIT49.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66ef5d4c04bf4a167571129d09b14e03\BIT3C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\68657159f736f67055f01e58abda9ed2\BIT20.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\691dc49a845de5f28bb86f6ed631c2a0\BIT25.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\69367769395ec3360fe0324276e6f514\download\BIT52.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6bf392fe46ebecaaba8fa4132361c18e\BIT43.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6cf435d25ed7211c74e34450b0269804\BIT45.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6d5ef9c905cd8213fab533d23aa1d5de\BIT2B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7491982196c67e15531a29c47782966a\download\BIT4F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7d99d90c3a1337de52eac0b73c8599ee\BIT2E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\832d347e982e97a6cfd0837fc356112d\BIT3E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\83ead157e2c8237ffe391022bf55b93a\BIT31.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8a218ffd6b5d22d9ee0f5966ab90d9dc\BIT28.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8d7b91eac1bbb302eef6992694572bab\download\BIT5C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8eaf2654f0289736ea670ab143d8291a\BIT23.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8fb8963a1a7f397e87eb252ab90b15d3\download\BIT57.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\965e4f7c0ef8c0e4d9974deded1eaa84\BIT37.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9bc1114d47f292bcc3c1938495059499\BIT32.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f18599563f5b87eca028283f76e4a7b\BIT24.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\a858c1ea8588a0bbae5d31b3908a92c9\BIT2F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b91fa25d99af79bb6837d851b9004aae\download\BIT53.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ce7489659abd85647dade79848d499dd\BIT3D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e267c9067eedca75a10e756d75d3bc06\BIT39.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e6087612d495fc70a41b78bf2de7bdf6\BIT36.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e675776115f016c68dd9aeaa48980eb4\download\BIT4A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e82080decccbc1559c7415c1fa6b8851\download\BIT54.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ef0d245e8b8c8c2cbe8ad104a59da695\BIT27.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f21fa7129db27d37e064df5831b77a0c\BIT41.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f2e34e8c1de804b5f1fdcd062d4c0ecd\download\BIT55.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f30a06c29a62c0f96ea4fe9b6f42c012\download\BIT4C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f4369887c15095f4745011ac22532689\BIT26.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f5647573e24561a2fca5973a98fbe6a6\BIT42.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\fe36d2eab8072fb91fff76b822bf2b4c\download\BIT4E.tmp
C:\WINDOWS\system32\config\system.tmp.LOG

Finished
Seitenanfang Seitenende
24.01.2007, 16:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 spiderfab

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Media" >>files.txt
dir "C:\WINDOWS\inf" >>files.txt
dir "C:\WINDOWS\system32\dhcp" >>files.txt
dir "C:\WINDOWS\Installer" >>files.txt
dir "C:\WINDOWS\system32\mui" >>files.txt
notepad files.txt

hier sind sie alle versammelt - der bankerfix meint, es sei alles i.o. aber so richtig glaube ich das nicht ;)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\WINDOWS\\Media\\winlogon.exe"="C:\\WINDOWS\\Media\\winlogon.exe:*:Enabled:msn"
"C:\\WINDOWS\\Media\\lsass.exe"="C:\\WINDOWS\\Media\\lsass.exe:*:Enabled:SondBlaster"
"C:\\WINDOWS\\Media\\ethernet.exe"="C:\\WINDOWS\\Media\\ethernet.exe:*:Enabled:InternetExplorer"
"C:\\WINDOWS\\inf\\winf.exe"="C:\\WINDOWS\\inf\\winf.exe:*:Enabled:SetupManager"
"C:\\WINDOWS\\inf\\dllhost.exe"="C:\\WINDOWS\\inf\\dllhost.exe:*:EnabledLLhost"
"C:\\WINDOWS\\inf\\showinf.exe"="C:\\WINDOWS\\inf\\showinf.exe:*:Enabled:inf"
"C:\\WINDOWS\\system32\\dhcp\\winlogon.exe"="C:\\WINDOWS\\system32\\dhcp\\winlogon.exe:*:Enabled:AOL"
"C:\\WINDOWS\\system32\\dhcp\\lsass.exe"="C:\\WINDOWS\\system32\\dhcp\\lsass.exe:*:Enabled:SondxBlaster"
"C:\\WINDOWS\\system32\\dhcp\\drivers.exe"="C:\\WINDOWS\\system32\\dhcp\\drivers.exe:*:Enabled:InternetxExplorer"
"C:\\WINDOWS\\Installer\\winf.exe"="C:\\WINDOWS\\Installer\\winf.exe:*:Enabled:SetupxManager"
"C:\\WINDOWS\\Installer\\dllhost.exe"="C:\\WINDOWS\\Installer\\dllhost.exe:*:EnabledLLhost"
"C:\\WINDOWS\\system32\\mui\\svchost.exe"="C:\\WINDOWS\\system32\\mui\\svchost.exe:*:Enabled:SondxBlaster"
"C:\\WINDOWS\\system32\\mui\\print.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 18:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 o.k. post den 2.teil (oder als anhang - siehe unten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 19:06
Member

Themenstarter

Beiträge: 32
#12 Verdammt, auf die Idee mit dem Anhang bin ich grad gar net erst gekommen... Verpeilt...

Thx

Anhang: files.txt
Seitenanfang Seitenende
24.01.2007, 19:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\Installer\winf.exe
C:\WINDOWS\inf\winf.exe


poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 19:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 spiderfab

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\Media\winlogon.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\Media\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\Media\ethernet.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\inf\winf.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\inf\dllhost.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\inf\showinf.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\dhcp\winlogon.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\dhcp\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\dhcp\drivers.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\Installer\winf.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\Installer\dllhost.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\mui\svchost.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\mui\print.exe
**
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 20:11
Member

Themenstarter

Beiträge: 32
#15 1) (In dieser Reihenfolge: Scan 1, 2, Avenger)

Complete scanning result of "winf.exe", received in VirusTotal at 01.24.2007, 20:07:42 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.24.2007 no virus found
Authentium 4.93.8 01.24.2007 no virus found
Avast 4.7.936.0 01.24.2007 Win32:Trojan-gen. {VC}
AVG 386 01.24.2007 no virus found
BitDefender 7.2 01.24.2007 no virus found
CAT-QuickHeal 9.00 01.24.2007 no virus found
ClamAV devel-20060426 01.24.2007 no virus found
DrWeb 4.33 01.24.2007 no virus found
eSafe 7.0.14.0 01.23.2007 no virus found
eTrust-InoculateIT 23.73.121 01.24.2007 no virus found
eTrust-Vet 30.3.3347 01.24.2007 no virus found
Ewido 4.0 01.24.2007 no virus found
Fortinet 2.85.0.0 01.24.2007 no virus found
F-Prot 3.16f 01.23.2007 no virus found
F-Prot4 4.2.1.29 01.23.2007 no virus found
Ikarus T3.1.0.27 01.24.2007 no virus found
Kaspersky 4.0.2.24 01.24.2007 no virus found
McAfee 4947 01.23.2007 no virus found
Microsoft 1.1904 01.24.2007 no virus found
NOD32v2 2003 01.24.2007 no virus found
Norman 5.80.02 01.24.2007 no virus found
Panda 9.0.0.4 01.24.2007 no virus found
Prevx1 V2 01.24.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 no virus found
TheHacker 6.0.3.155 01.24.2007 no virus found
UNA 1.83 01.24.2007 no virus found
VBA32 3.11.2 01.23.2007 Trojan-Downloader.Win32.SetupFactory.d
VirusBuster 4.3.19:9 01.24.2007 no virus found

Aditional Information
File size: 521005 bytes
MD5: b9499ee17a549d21b4e1347654d49bdb
SHA1: e88ac2f4b5f186b7f804279d9b561623e8196cfb
packers: BINARYRES, SETUP FACTORY
packers: embedded

[hr]

2) Complete scanning result of "winf.exe", received in VirusTotal at 01.24.2007, 20:03:17 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.24.2007 no virus found
Authentium 4.93.8 01.24.2007 no virus found
Avast 4.7.936.0 01.24.2007 Win32:Trojan-gen. {VC}
AVG 386 01.24.2007 no virus found
BitDefender 7.2 01.24.2007 no virus found
CAT-QuickHeal 9.00 01.24.2007 no virus found
ClamAV devel-20060426 01.24.2007 no virus found
DrWeb 4.33 01.24.2007 no virus found
eSafe 7.0.14.0 01.23.2007 no virus found
eTrust-InoculateIT 23.73.121 01.24.2007 no virus found
eTrust-Vet 30.3.3347 01.24.2007 no virus found
Ewido 4.0 01.24.2007 no virus found
Fortinet 2.85.0.0 01.24.2007 no virus found
F-Prot 3.16f 01.23.2007 no virus found
F-Prot4 4.2.1.29 01.23.2007 no virus found
Ikarus T3.1.0.27 01.24.2007 no virus found
Kaspersky 4.0.2.24 01.24.2007 no virus found
McAfee 4947 01.23.2007 no virus found
Microsoft 1.1904 01.24.2007 no virus found
NOD32v2 2003 01.24.2007 no virus found
Norman 5.80.02 01.24.2007 no virus found
Panda 9.0.0.4 01.24.2007 no virus found
Prevx1 V2 01.24.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 no virus found
TheHacker 6.0.3.155 01.24.2007 no virus found
UNA 1.83 01.24.2007 no virus found
VBA32 3.11.2 01.23.2007 Trojan-Downloader.Win32.SetupFactory.d
VirusBuster 4.3.19:9 01.24.2007 no virus found

Aditional Information
File size: 521004 bytes
MD5: 502991156ca148d1b28f4fbc7c583d72
SHA1: af44c9e9ddba035ec0acc2cdd684ed3a9500ac6c
packers: BINARYRES, SETUP FACTORY
packers: embedded

3) Avenger
Seitenanfang Seitenende