bravesentry entfernen

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.01.2007, 17:28
Member

Beiträge: 17
#1 huhu, für hilfe wär ich sehr dankbar.
fehler beschreibung am ende des threads

[logfile vor reboot]
hijackthislog:
Logfile of HijackThis v1.99.1
Scan saved at 16:40:38, on 23.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Software\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Software\Eset\nod32kui.exe
C:\Software\ICQLite\ICQLite.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\system32\CTFMON.EXE
C:\Software\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\games\Steam\Steam.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\3456346345643.exe
C:\syst.exe
C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe
C:\Program Files\BraveSentry\BraveSentry.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe

C:\Dokumente und Einstellungen\TEMP\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://pimpcoins.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ilead.itrack.it/clients/extas.aspx?cid=8382&sid=45307&wid=4062&swid=AdS210836&targetpage=popup&openpopup=0&rescale=1&kid=&bid=1201169&dat=210836&keyword=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Software\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Software\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Software\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DU Meter] C:\Software\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Software\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels1118.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [BraveSentry] C:\Program Files\BraveSentry\BraveSentry.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Software\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Software\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Software\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Software\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA71DA2-0C40-4292-B898-05CD7D4BF718}: NameServer = 10.168.0.1
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Software\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Software\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


[logfile nach reboot wegen cleanup]
Logfile of HijackThis v1.99.1
Scan saved at 17:53:37, on 23.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Software\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Software\Eset\nod32kui.exe
C:\Software\ICQLite\ICQLite.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\system32\kernels1118.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Software\Opera\Opera.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Software\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Software\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Software\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DU Meter] C:\Software\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Software\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels1118.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Software\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Software\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Software\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA71DA2-0C40-4292-B898-05CD7D4BF718}: NameServer = 10.168.0.1
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Software\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Software\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


combofix:
"nein" - 07-01-23 18:01:43 Service Pack 2
ComboFix 07-01-23.2 - Running from: "C:\Programme"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe
C:\WINDOWS\system32\dlh9jkd1q6.exe
C:\WINDOWS\system32\dlh9jkd1q7.exe
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\kernels1118.exe
C:\WINDOWS\system32\kernels88.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\desktop.html
C:\WINDOWS\xpupdate.exe
C:\Windows\xpupdate.exe


((((((((((((((((((((((((((((((( Files Created from 2006-12-23 to 2007-01-23 ))))))))))))))))))))))))))))))))))


2007-01-23 17:56 851,262 --a------ C:\Programme\surfbar.exe
2007-01-23 17:56 851,262 --a------ C:\Programme\combofix.exe
2007-01-23 17:52 <DIR> d-------- C:\Programme\hijackthis
2007-01-23 17:47 <DIR> d-------- C:\DOKUME~1\TEMP\Anwendungsdaten\ICQLite
2007-01-23 17:46 <DIR> dr-h----- C:\DOKUME~1\TEMP\Anwendungsdaten
2007-01-23 17:46 <DIR> dr------- C:\DOKUME~1\TEMP\Startmen�
2007-01-23 17:46 <DIR> dr------- C:\DOKUME~1\TEMP\Favoriten
2007-01-23 17:46 <DIR> dr------- C:\DOKUME~1\TEMP\Eigene Dateien
2007-01-23 17:46 <DIR> d--h----- C:\DOKUME~1\TEMP\Vorlagen
2007-01-23 17:46 <DIR> d--h----- C:\DOKUME~1\TEMP\Netzwerkumgebung
2007-01-23 17:46 <DIR> d--h----- C:\DOKUME~1\TEMP\Lokale Einstellungen
2007-01-23 17:46 <DIR> d--h----- C:\DOKUME~1\TEMP\Druckumgebung
2007-01-23 16:08 8,323 --a------ C:\syst.exe
2007-01-23 16:08 8,323 --a------ C:\3456346345643.exe
2007-01-22 23:41 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-01-22 23:41 249,856 --------- C:\WINDOWS\Setup1.exe
2007-01-22 23:41 <DIR> d-------- C:\Programme\Recorder
2007-01-22 17:07 <DIR> d-------- C:\Programme\CC-Bar
2007-01-20 13:55 <DIR> d-------- C:\Programme\Paradiesbar
2006-12-28 12:43 <DIR> d-------- C:\Programme\Mozilla Firefox


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2013-03-22 17:33 300048 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-01-23 17:49 -------- d-------- C:\DOKUME~1\TEMP\Anwendungsdaten\macromedia
2007-01-23 17:48 -------- d-------- C:\DOKUME~1\TEMP\Anwendungsdaten\mozilla
2007-01-23 17:46 -------- d---s---- C:\DOKUME~1\TEMP\Anwendungsdaten\microsoft
2007-01-23 17:46 -------- d-------- C:\DOKUME~1\TEMP\Anwendungsdaten\identities
2006-11-26 17:46 -------- d-------- C:\Programme\pdf passwort knacker 1
2006-11-26 17:41 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2006-10-23 09:24 1530776 --a------ C:\daemon406-x86.exe
2006-10-23 09:17 98304 --a------ C:\WINDOWS\system32\cmdlineext.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Software\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nod32kui"="\"C:\\Software\\Eset\\nod32kui.exe\" /WAITSERVICE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"DU Meter"="C:\\Software\\DU Meter\\DUMeter.exe"
"ICQ Lite"="\"C:\\Software\\ICQLite\\ICQLite.exe\" -minimize"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SO5 Integrator Pass Two"="C:\\WINDOWS\\SOINTGR.EXE"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Mixer"
"hkey"="HKLM"
"command"="Mixer.exe /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Software\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


Completion time: 07-01-23 18:04:01


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\WINDOWS\system32

22.03.2013 17:34 442 mapisvc.inf
22.03.2013 17:33 114.688 nms32.dll
22.03.2013 17:33 245.760 imon.dll
22.03.2013 17:02 261 $winnt$.inf
22.03.2013 16:59 2.951 CONFIG.NT
22.03.2013 16:59 16.832 amcompat.tlb
22.03.2013 16:59 23.392 nscompat.tlb
22.03.2013 16:58 488 WindowsLogon.manifest
22.03.2013 16:58 488 logonui.exe.manifest
22.03.2013 16:58 749 cdplayer.exe.manifest
22.03.2013 16:58 749 sapi.cpl.manifest
22.03.2013 16:58 749 nwc.cpl.manifest
22.03.2013 16:58 749 wuaucpl.cpl.manifest
22.03.2013 16:58 749 ncpa.cpl.manifest
22.03.2013 16:56 21.740 emptyregdb.dat
23.01.2007 17:47 43.209 nvapps.xml
23.01.2007 17:45 2.206 wpa.dbl
29.10.2006 02:52 40.128 perfc009.dat
29.10.2006 02:52 48.354 perfc007.dat
29.10.2006 02:52 316.924 perfh007.dat
29.10.2006 02:52 311.740 perfh009.dat
29.10.2006 02:52 723.744 PerfStringBackup.INI
25.10.2006 09:09 227.208 FNTCACHE.DAT
23.10.2006 09:17 98.304 CmdLineExt.dll
16.05.2006 21:23 339.968 pxwave.dll
16.05.2006 21:23 28.672 vxblock.dll
16.05.2006 21:23 430.080 px.dll
16.05.2006 21:23 57.344 pxcpya64.exe
16.05.2006 21:23 61.440 pxhpinst.exe
16.05.2006 21:23 176.128 pxmas.dll
16.05.2006 21:23 1.257.472 pxsfs.dll
16.05.2006 21:23 450.560 pxdrv.dll
16.05.2006 21:23 56.832 pxinsa64.exe
31.03.2006 11:40 2.388.176 d3dx9_30.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\DOKUME~1\TEMP\LOKALE~1\Temp

13.09.2006 10:18 49.152 NeroSearchTrayHook_{06F506A1-F6DA-4B66-AEF8-03606CAFF861}.dll
1 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 30.500.888.576 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\WINDOWS

22.03.2013 17:42 25 mixerdef.ini
22.03.2013 17:05 774.400 setuplog.txt
22.03.2013 17:03 8.192 REGLOCS.OLD
22.03.2013 16:59 4.161 ODBCINST.INI
22.03.2013 16:58 749 WindowsShell.Manifest
22.03.2013 16:57 1.023 sessmgr.setup.log
22.03.2013 16:56 37 vbaddin.ini
22.03.2013 16:56 36 vb.ini
22.03.2013 16:56 133 DtcInstall.log
22.03.2013 16:54 200 cmsetacl.log
23.01.2007 17:48 0 nsreg.dat
23.01.2007 17:46 2.209 OEWABLog.txt
23.01.2007 17:46 20.941 wmsetup.log
23.01.2007 17:46 0 0.log
23.01.2007 17:45 2.048 bootstat.dat
23.01.2007 17:42 430 wiadebug.log
23.01.2007 17:42 50.558 WindowsUpdate.log
23.01.2007 13:59 400 ODBC.INI
23.01.2007 13:58 50 wiaservc.log
22.01.2007 23:41 249.856 Setup1.exe
22.01.2007 23:41 73.216 ST6UNST.EXE
22.01.2007 16:27 116 NeroDigital.ini
15.01.2007 16:06 1.532 cdplayer.ini
12.01.2007 18:04 329.247 setupapi.log
12.01.2007 14:18 185.914 setupact.log
15.12.2006 21:00 62.091 iis6.log
15.12.2006 21:00 11.547 ntdtcsetup.log
15.12.2006 21:00 19.369 tsoc.log
15.12.2006 21:00 20.906 comsetup.log
15.12.2006 21:00 1.943 imsins.log
15.12.2006 21:00 1.874 tabletoc.log
15.12.2006 21:00 1.823 ocmsn.log
15.12.2006 21:00 5.974 netfxocm.log
15.12.2006 21:00 2.925 MedCtrOC.log
15.12.2006 21:00 26.284 ocgen.log
15.12.2006 21:00 1.829 msgsocm.log
15.12.2006 21:00 25.119 FaxSetup.log
15.12.2006 21:00 13.934 msmqinst.log
26.11.2006 17:41 73.216 cadkasdeinst01.exe
23.10.2006 11:51 95.025 DirectX.log
08.09.2006 18:08 36.864 uinst001.exe
24.07.2006 13:44 1.409 QTFont.for
24.07.2006 13:44 54.156 QTFont.qfn
14.07.2006 16:29 966.656 UNNeroVision.exe
14.07.2006 16:29 966.656 UNNeroShowTime.exe
14.07.2006 16:29 966.656 UNNeroBackItUp.exe
12.06.2006 12:58 316.640 WMSysPr9.prx
02.06.2006 15:55 227 system.ini
02.06.2006 15:55 573 win.ini
21.05.2006 09:25 147 winamp.ini
02.05.2006 09:54 500 GEARInstall.log
01.04.2006 11:53 0 control.ini
31.03.2006 16:19 1.917 imsins.BAK


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\WINDOWS\temp


Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.03.2013 16:58 65 desktop.ini
02.03.2006 14:40 1.271 erma.inf
02.12.2005 10:55 5.101 swflash.inf
31.01.2005 22:26 117.800 ZIntro.ocx
26.07.2004 19:37 325 heartbeat.inf
26.07.2004 19:36 134.747 zsetup.exe
26.07.2004 19:36 101.464 hrtbeat.ocx
03.06.2002 16:53 144 QTPlugin.inf
8 Datei(en) 360.917 Bytes
0 Verzeichnis(se), 30.500.876.288 Bytes frei

Verzeichnis von C:\

22.03.2013 16:59 0 IO.SYS
22.03.2013 16:59 0 CONFIG.SYS
23.01.2007 18:10 0 sys.txt
23.01.2007 18:10 637 down.txt
23.01.2007 18:10 117 tmp.txt
23.01.2007 18:09 5.355 system.txt
23.01.2007 18:09 341 systemtemp.txt
23.01.2007 18:06 96.295 system32.txt
23.01.2007 18:04 6.534 ComboFix.txt
23.01.2007 17:45 1.073.270.784 hiberfil.sys
23.01.2007 17:45 1.610.612.736 pagefile.sys
23.01.2007 16:08 8.323 syst.exe
23.01.2007 16:08 8.323 3456346345643.exe
10.12.2006 16:21 387 hpfr3740.log
29.11.2006 09:30 244.853 WCL5_Legion_A_vs_Tsu_A_ES_Metropolis.zip
29.11.2006 08:40 1.414.710 desktop.jpg
28.11.2006 21:23 30.715 KATZEDIEANBILDSCHIRMLECKT.gif
25.11.2006 20:50 53.277 the.o.c.321.hdtv.xvid-lol.srt
12.11.2006 15:21 920.919 GK12_anfaenge_oper.pdf
04.11.2006 16:29 1.442.027 Herbstball06.rar
23.10.2006 11:40 625.081 Fur-Elise.mp3
23.10.2006 09:24 1.530.776 daemon406-x86.exe
22.10.2006 16:50 28.195.443 The_Murdered_-_And_The_Maggots_Shall_Inherit_The_Earth__by_xMitnickx.rar
03.10.2006 16:24 162 ~$dichtvergleichrilkegeorge.doc
03.10.2006 16:24 21.504 ~WRL2288.tmp
03.10.2006 15:01 162 ~$Hausaufgaben-de 17.05.2005-15.59.27_Uhr.doc
28.09.2006 20:16 245.196 Elise.pdf
08.09.2006 17:13 79.964.512 so-5_2-ga-bin-windows-de.exe
21.08.2006 16:54 1.450.904 daemon403-x86.exe
18.08.2006 17:29 28.213 supermanvsvcd.sft
29.07.2006 16:36 3.582.114 FINAL-aoc-1.0e-Patch.exe
29.07.2006 16:35 29.698 removesnow.zip
20.06.2006 18:14 162 ~$traeder Bottrop.doc
19.06.2006 20:05 162 ~$rokko1.doc
19.06.2006 19:53 162 ~$arokko.doc
02.06.2006 15:55 211 boot.ini
21.05.2006 14:57 671.744 Des Knaben Wunderhorn.doc
21.05.2006 09:01 162 ~$him von Arnim.doc
20.05.2006 15:17 3.932.214 zone17xx2.bmp
20.05.2006 15:17 3.932.214 zone17xx.bmp
02.04.2006 15:44 4.346.606 ebay-song.wmv
01.04.2006 11:53 0 MSDOS.SYS
01.04.2006 11:53 0 AUTOEXEC.BAT
10.03.2006 21:18 1.969.269 Martin, George R. R. - Das Lied Von Eis & Feuer 4 - Die Saat Des Goldenen L”wen.pdf
09.03.2006 22:17 1.218.252 Martin, George R. R. - Das Lied Von Eis & Feuer 1 - Die Herren Von Winterfell.pdf
09.03.2006 21:21 2.239.737 Martin, George R. R. - Das Lied Von Eis & Feuer 6 - Die K”nigin der Drachen.pdf
09.03.2006 21:12 3.414.966 Martin, George R. R. - Das Lied Von Eis & Feuer 3 - Der Thron Der Sieben K”nigreiche.pdf
09.03.2006 20:44 1.780.673 Martin, George R. R. - Das Lied Von Eis & Feuer 2 - Das Erbe von Winterfell.pdf
07.03.2006 01:08 2.026.427 Martin, George R. R. - Das Lied Von Eis & Feuer 5 - Sturm Der Schwerter.pdf


genaue problem/fehler beschreibung:
* heute nachmittag: warnung "computer infiziert" + taskmanager ging nicht mehr + schwarzer bildschirm hintergrund mit virus warnung ... google --> bravesentry
* hijackthislog erstellt (erster in diesem thread)
* cleanup --> neustart
* vor anmeldung in windows 2 fehler meldungen
(1) lokal gespeichertes profil kann nicht geladen werden;beschädigtes benutzerprofil oder nicht genügend recht
(2) änderungen die vom benutzer gemacht werden, werden nach abmeldung nichtig

[diese 2 fehlermeldungen waren auch schon gestern und vorgestern da und änderungen wurden wirklich gelöscht-->immer standardhintergrundbild vorgenommene änderungenan taskleiste nicht beibehalten usw.]
Dieser Beitrag wurde am 23.01.2007 um 18:32 Uhr von meuchel editiert.
Seitenanfang Seitenende
24.01.2007, 01:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|System

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry

Files to delete:
C:\syst.exe
C:\3456346345643.exe
C:\WINDOWS\system32\kernels1118.exe

Folders to delete:
C:\Program Files\BraveSentry


Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix -Option 1 und 2 anwenden
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

»»
scanne mit sophos, option 6 und poste den scanreport
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 20:14
Member

Themenstarter

Beiträge: 17
#3 nach neustart:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jebvutsq

*******************

Script file located at: najnihwt

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!



SmitFraudFix v2.134

Scan done at 20:07:30,85, 24.01.2007
Run from C:\Programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\TEMP


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\TEMP\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\TEMP\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



SDFix: Version 1.62

24.01.2007 - 22:18:00,90

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Files will be copied to Backups folder and removed:

C:\syst.exe - Deleted
C:\WINDOWS\system32\dlh9jkd1q2.exe - Deleted
C:\WINDOWS\system32\dlh9jkd1q5.exe - Deleted
C:\WINDOWS\system32\dlh9jkd1q6.exe - Deleted
C:\WINDOWS\system32\dlh9jkd1q7.exe - Deleted
C:\WINDOWS\system32\dlh9jkd1q8.exe - Deleted
C:\WINDOWS\system32\kernels88.exe - Deleted



Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Software\\FlashFXP\\flashfxp.exe"="C:\\Software\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"C:\\aoeII\\age2_x1\\age2_x1.exe"="C:\\aoeII\\age2_x1\\age2_x1.exe:*:Enabled:Age of Empires II Expansion"
"C:\\Software\\ICQLite\\ICQLite.exe"="C:\\Software\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Software\\FlashFXP\\flashfxp.exe"="C:\\Software\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\hiberfil.sys
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\~WRL2288.tmp
C:\Dokumente und Einstellungen\nein\Lokale Einstellungen\Temp\~2FB.tmp
C:\sh1t\teXXXXte\~WRL0001.tmp
C:\sh1t\teXXXXte\englisch relationshipUK-USA,EU\~WRL1744.tmp

Finished
Dieser Beitrag wurde am 24.01.2007 um 22:37 Uhr von meuchel editiert.
Seitenanfang Seitenende
24.01.2007, 22:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 hast du das avengerscript angewendet ?
wende es an und poste nach neustart das log, was erscheinen wird
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 23:06
Member

Themenstarter

Beiträge: 17
#5 "Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jebvutsq

*******************

Script file located at: najnihwt

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!"

könnte daran liegen das ich nur mit temporärem banutzprofil angemeldet bin oder ? ich weiss aber nicht wie ich das ändern kann :/
Seitenanfang Seitenende
24.01.2007, 23:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 du hast wahrscheinlich "Zitat" mit reinkopiert ;)
oder nicht das richtige angehakt
ueberpruefe es noch mal
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 23:23
Member

Themenstarter

Beiträge: 17
#7 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mmmsfgyv

*******************

Script file located at: \??\C:\Program Files\vtjdbcth.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\syst.exe not found!
Deletion of file C:\syst.exe failed!

Could not process line:
C:\syst.exe
Status: 0xc0000034



File C:\3456346345643.exe not found!
Deletion of file C:\3456346345643.exe failed!

Could not process line:
C:\3456346345643.exe
Status: 0xc0000034



File C:\WINDOWS\system32\kernels1118.exe not found!
Deletion of file C:\WINDOWS\system32\kernels1118.exe failed!

Could not process line:
C:\WINDOWS\system32\kernels1118.exe
Status: 0xc0000034

Folder C:\Program Files\BraveSentry deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|System
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|System failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
24.01.2007, 23:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

bravesentry

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

kernels1118

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 23:31
Member

Themenstarter

Beiträge: 17
#9 beide male Fehler: Integer Overflow :/

was meisnt du mit "in edit" ?
Seitenanfang Seitenende
24.01.2007, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 im Beispiel steht WINHOUND drin ;)



-----------------------------------------------------------

versuche es hiermit:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

eventuelle Meldung vom Virenscanner --- > warnmeldung: bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

bravesentry

Press 'OK'
warten, bis die Suche beendet ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 23:42
Member

Themenstarter

Beiträge: 17
#11 hmm hab sdenke mal richtig so gemacht oder ???

edit:/
regsrch.vbs: nach suche "Search completed in 12 seconds. No instances of "bravesentry" found.
das ist doch schonmal positiv oder ?

Seitenanfang Seitenende
25.01.2007, 09:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 meuchel

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.01.2007, 15:50
Member

Themenstarter

Beiträge: 17
#13 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Desktop

03.12.2006 12:05 <DIR> .
03.12.2006 12:05 <DIR> ..
12.06.2006 12:32 1.621 Audiograbber 1.83.lnk
1 Datei(en) 1.621 Bytes
2 Verzeichnis(se), 30.009.057.280 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\Dokumente und Einstellungen\nein\Desktop

23.01.2007 17:52 <DIR> .
23.01.2007 17:52 <DIR> ..
17.01.2007 20:32 <DIR> 666
04.01.2007 21:29 391.320 a cover front.JPG
22.01.2007 17:06 892.695 cashcrawler_surfbar_setup.exe
11.06.2006 12:55 10.829.100 Das_Lied_von_Eis._.rar
18.12.2006 22:40 24.064 Der Steppenwolf.doc
03.12.2006 14:10 341.504 die gleichungen oben inden graphen hat lo reingeschrieben.doc
18.01.2007 19:07 32.768 FTP File Transfer ProtocolVORTRAG.doc
18.01.2007 19:15 11.783 ftphintergrund.gif
18.01.2007 19:21 165.888 FTPPRŽSENTATION.sdd
18.01.2007 19:35 102.912 FTPPRŽSENTATIONRICHTIG.sdd
18.01.2007 17:18 4.454 FTPSCHEMA.gif
03.12.2006 13:52 341.504 funktionen.doc
12.12.2006 17:31 20.992 ge-geballteswissen.doc
05.12.2006 21:40 47.104 geballtes-wissen-genetik.doc
27.06.2006 20:16 33.792 geospicker.doc
02.01.2007 17:40 29.696 Konzentrationslager.doc
14.01.2007 12:15 81.469 Lady.sft
22.01.2007 23:40 3.877.045 mouseandkeyrec.zip
22.01.2007 23:40 3.452.240 mssetup.exe
06.01.2007 13:23 6.521 NeverDieAlone.sft
19.12.2006 18:36 218.624 passive aktive immunisierung.doc
14.09.2006 17:12 <DIR> schulz9tA1
20.01.2007 13:53 1.165.987 setup.exe
20.12.2006 21:32 33.280 Stadt Merkmale.doc
10.01.2007 17:08 984 stromb.sft
06.01.2007 22:11 14.768 Supertroopers.sft
30.12.2006 00:52 825.856 surfbar.exe
15.11.2006 08:59 1.603 TimeAdjuster.lnk
15.01.2007 17:42 15.050 Todde. Final.nfo
29 Datei(en) 6.104.154.352 Bytes
4 Verzeichnis(se), 30.009.049.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\Windows\System32\Com

22.03.2013 16:56 <DIR> .
22.03.2013 16:56 <DIR> ..
05.08.2004 13:00 195.584 comadmin.dll
05.08.2004 13:00 61.440 comempty.dat
05.08.2004 13:00 77.348 comexp.msc
05.08.2004 13:00 9.728 comrepl.exe
05.08.2004 13:00 5.120 comrereg.exe
05.08.2004 13:00 19.456 mtsadmin.tlb
6 Datei(en) 368.676 Bytes
2 Verzeichnis(se), 30.009.049.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.03.2006 14:40 1.271 erma.inf
26.07.2004 19:37 325 heartbeat.inf
26.07.2004 19:36 101.464 hrtbeat.ocx
03.06.2002 16:53 144 QTPlugin.inf
02.12.2005 10:55 5.101 swflash.inf
31.01.2005 22:26 117.800 ZIntro.ocx
26.07.2004 19:36 134.747 zsetup.exe
7 Datei(en) 360.852 Bytes
0 Verzeichnis(se), 30.009.049.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\Program Files

24.01.2007 23:19 <DIR> .
24.01.2007 23:19 <DIR> ..
24.01.2007 16:23 714 hnluoabj.txt
06.06.2006 19:51 <DIR> ICQLite
1 Datei(en) 714 Bytes
3 Verzeichnis(se), 30.009.044.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\Dokumente und Einstellungen\nein\Lokale Einstellungen\Temporary Internet Files\Content.IE5

20.01.2007 22:58 5.455.872 index.dat
1 Datei(en) 5.455.872 Bytes
0 Verzeichnis(se), 30.009.044.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\Dokumente und Einstellungen\nein\Lokale Einstellungen\Temp

20.01.2007 23:06 <DIR> .
20.01.2007 23:06 <DIR> ..
28.10.2006 16:49 0 02s939.tmp
13.11.2006 23:36 0 0597A8C.tmp
22.11.2006 17:47 0 05v4CE0.tmp
06.05.2006 10:20 0 09q1769.tmp
19.04.2006 07:37 0 0a6FDD.tmp
09.05.2006 17:00 0 0b7208D.tmp
19.04.2006 07:49 0 0n81289.tmp
03.09.2006 11:47 0 0o2304C.tmp
11.11.2006 11:51 0 0p92DB8.tmp
04.08.2006 12:43 0 0pn1E1.tmp
11.11.2006 11:58 0 0tp3082.tmp
22.04.2006 10:02 0 0w96A5.tmp
22.05.2006 13:23 0 0y6557.tmp
11.11.2006 12:03 0 0yr319C.tmp
26.12.2006 11:57 0 10f4D7D.tmp
02.06.2006 16:08 0 14y621.tmp
02.09.2006 23:14 0 17x77E.tmp
11.11.2006 12:09 0 1aw31D8.tmp
08.10.2004 05:53 1.460.224 1c596d5.msi
07.08.2006 07:21 0 1dnC4B.tmp
17.07.2006 09:52 0 1ei724.tmp
08.07.2006 14:06 0 1es417.tmp
08.07.2006 14:09 0 1f7454.tmp
02.05.2006 09:54 426.496 1fe6ff.mst
02.06.2006 16:07 0 1hf5BB.tmp
26.08.2006 21:48 0 1mc2078.tmp
23.06.2006 22:09 0 1oz1894.tmp
19.04.2006 07:25 0 1ozA6E.tmp
10.05.2006 11:59 0 1pc4AE.tmp
05.05.2006 17:38 0 1sp16F.tmp
02.06.2006 16:05 0 1tp47B.tmp
26.06.2006 11:06 0 1vx2E2.tmp
26.08.2006 21:57 0 1wk20F1.tmp
26.08.2006 21:59 0 1x62131.tmp
02.05.2006 09:54 450.048 20e2d3.mst
26.12.2006 11:55 0 21b4CF3.tmp
19.04.2006 07:27 0 24jB50.tmp
16.10.2006 17:22 0 28d445.tmp
19.04.2006 07:19 0 29i8E9.tmp
03.09.2006 14:10 0 29y3A6E.tmp
26.08.2006 21:44 0 2e92007.tmp
26.08.2006 21:41 0 2en1FEB.tmp
02.06.2006 16:05 0 2fi4B8.tmp
25.08.2006 20:57 0 2gw6D6.tmp
17.06.2006 15:19 0 2he2528.tmp
26.08.2006 21:45 0 2nw201C.tmp
08.05.2006 18:06 0 2w55FC.tmp
02.05.2006 11:21 0 2wq42D.tmp
03.09.2006 11:40 0 30f3003.tmp
02.06.2006 16:11 0 31m720.tmp
19.04.2006 09:13 0 33w1573.tmp
24.08.2006 23:35 0 34o10B6.tmp
10.05.2006 07:14 0 35o18A.tmp
04.01.2007 17:17 0 363113C.tmp
07.08.2006 11:14 0 37qEDB.tmp
09.08.2006 08:35 0 396127.tmp
26.08.2006 21:46 0 39i203A.tmp
14.04.2006 10:20 0 3ae53C.tmp
25.07.2006 00:03 0 3ag58D0.tmp
23.06.2006 22:09 0 3g018DB.tmp
02.09.2006 17:09 0 3g744D.tmp
19.04.2006 06:49 0 3ik2C5.tmp
18.04.2006 10:45 0 3ja54A.tmp
19.12.2006 14:59 0 3la212E.tmp
11.11.2006 12:03 0 3r8318D.tmp
05.05.2006 17:45 0 3so3BB.tmp
19.04.2006 07:24 0 3xoA50.tmp
03.09.2006 14:07 0 40t3740.tmp
02.09.2006 23:24 0 43w89A.tmp
26.08.2006 21:57 0 465210C.tmp
26.12.2006 00:42 0 47e275A.tmp
26.08.2006 21:42 0 48i1FF4.tmp
24.11.2006 18:48 0 49fFD1.tmp
18.06.2006 01:21 0 4i42DE1.tmp
25.05.2006 02:08 0 4m1AE.tmp
11.11.2006 12:03 0 4pu31AA.tmp
04.08.2006 12:39 0 4w013F.tmp
19.04.2006 07:37 0 4xcFF1.tmp
04.08.2006 12:46 0 50f244.tmp
07.08.2006 11:12 0 511EB6.tmp
17.05.2006 22:46 150 52E52035.TMP
26.08.2006 21:55 0 53520D2.tmp
02.09.2006 23:25 0 53p8C4.tmp
04.01.2007 17:11 0 54hE43.tmp
25.04.2006 16:30 0 55xC10.tmp
06.01.2007 17:22 0 5776DFD.tmp
26.08.2006 21:48 0 5c2206B.tmp
07.08.2006 07:24 0 5dmD11.tmp
11.11.2006 11:59 0 5fk30C7.tmp
25.12.2006 20:14 0 5g11806.tmp
02.09.2006 23:31 0 5jhADA.tmp
19.04.2006 07:18 0 5jq89E.tmp
05.05.2006 17:36 0 5lq10F.tmp
26.12.2006 11:56 0 5mq4D47.tmp
07.06.2006 13:44 0 5os2DFD.tmp
19.04.2006 07:30 0 5otC97.tmp
19.04.2006 07:34 0 5plE29.tmp
08.05.2006 18:05 0 5pw54E.tmp
18.06.2006 18:18 0 5qd948.tmp
19.07.2006 23:02 0 5qz1470.tmp
02.06.2006 16:10 0 5rq6C7.tmp
14.09.2006 20:34 0 5s898F.tmp
02.06.2006 16:06 0 5sg549.tmp
18.05.2006 07:05 0 5u827CC.tmp
02.06.2006 16:06 0 5xo4E6.tmp
18.05.2006 08:10 0 6082FF4.tmp
25.12.2006 20:09 0 60g1533.tmp
18.10.2006 16:14 0 620157F.tmp
04.01.2007 17:17 0 64g1136.tmp
06.01.2007 17:24 0 6626EEB.tmp
19.04.2006 06:45 0 68213B.tmp
19.04.2006 09:14 0 688159A.tmp
26.12.2006 11:58 0 6ca4DAA.tmp
02.06.2006 16:09 0 6gb65C.tmp
07.08.2006 11:11 0 6k2E68.tmp
05.10.2006 18:54 0 6kaEA5.tmp
03.09.2006 11:42 0 6ks301A.tmp
04.08.2006 12:44 0 6mm1F5.tmp
03.09.2006 14:07 0 6ng3775.tmp
19.04.2006 07:44 0 6nj11C0.tmp
07.06.2006 13:39 0 6nl2D13.tmp
22.04.2006 10:04 0 6nn7A2.tmp
18.07.2006 19:35 0 6o0128D.tmp
17.06.2006 15:20 0 6ov2535.tmp
03.12.2006 11:52 0 6ps6E7.tmp
07.08.2006 11:11 0 6rcE7C.tmp
20.06.2006 13:31 0 6rz293.tmp
09.08.2006 08:37 0 6tl1FF.tmp
02.09.2006 23:14 0 6tq76B.tmp
24.11.2006 17:24 0 6v9835.tmp
25.04.2006 16:24 0 6wk8AC.tmp
26.12.2006 00:40 0 6yt259A.tmp
20.05.2006 17:09 0 70wE5E.tmp
08.07.2006 14:17 0 76b4BD.tmp
04.08.2006 12:47 0 78628D.tmp
26.08.2006 21:40 0 78k1FA6.tmp
18.06.2006 01:19 0 79i2D37.tmp
25.08.2006 20:49 0 7e04DB.tmp
02.06.2006 16:04 0 7es444.tmp
01.01.2007 18:13 0 7f96017.tmp
10.05.2006 11:58 0 7ft424.tmp
29.10.2006 22:19 0 7kj225C.tmp
19.04.2006 07:48 0 7ma1250.tmp
04.08.2006 00:54 0 7n3CEE.tmp
04.01.2007 17:14 0 7pa10C7.tmp
20.05.2006 12:38 0 7tq5C0.tmp
26.08.2006 21:45 0 7ye2016.tmp
24.11.2006 17:21 0 7zp7FB.tmp
15.09.2006 11:37 53.760 8363bf.mst
25.04.2006 16:17 0 848550.tmp
20.05.2006 17:22 0 84s1266.tmp
24.07.2006 20:03 0 85l3DA4.tmp
06.01.2007 14:58 0 8622FAB.tmp
19.12.2006 14:57 0 86w20C8.tmp
03.05.2006 17:32 0 8er3E3.tmp
17.06.2006 15:26 0 8hk25B1.tmp
23.06.2006 22:04 0 8ho1722.tmp
14.09.2006 20:44 0 8o1F2C.tmp
19.04.2006 07:32 0 8oyD87.tmp
09.09.2006 17:11 0 8p3D43.tmp
22.07.2006 20:28 0 8py11E0.tmp
17.07.2006 09:53 0 8qb7D0.tmp
04.08.2006 12:43 0 8rg1D4.tmp
14.09.2006 20:40 0 8viC0C.tmp
20.05.2006 17:04 0 8vtBB5.tmp
02.09.2006 23:15 0 9097BC.tmp
03.05.2006 17:37 0 93j48E.tmp
07.06.2006 13:49 0 94p2F07.tmp
20.04.2006 22:19 0 9bm905.tmp
18.05.2006 07:58 0 9ca2BA8.tmp
09.01.2007 21:58 0 9gi4F6A.tmp
05.05.2006 17:42 0 9hr2D7.tmp
16.07.2006 20:47 0 9k53D9.tmp
17.07.2006 09:53 0 9n97EE.tmp
26.12.2006 11:55 0 9o34D18.tmp
02.06.2006 16:08 0 9pb5D0.tmp
08.08.2006 11:14 0 9q82FD2.tmp
18.06.2006 01:20 0 9td2D7E.tmp
06.01.2007 15:01 0 a41301A.tmp
19.07.2006 13:43 0 a6d966.tmp
18.05.2006 07:58 0 acq2BC3.tmp
04.01.2007 17:17 0 adf1133.tmp
28.11.2006 15:26 <DIR> Adobe
21.08.2006 18:52 0 afd7a9c.msi
15.01.2007 16:44 0 agc1382.tmp
22.11.2006 17:48 0 ahw4D4C.tmp
08.05.2006 17:59 0 ajb2F0.tmp
19.12.2006 14:56 0 ajf2061.tmp
08.09.2006 22:08 0 aop1D92.tmp
10.09.2004 02:53 659.456 AutoRun.exe
09.09.2004 23:00 577.536 AutoRunGUI.dll


edit
Seitenanfang Seitenende
26.01.2007, 00:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
wende cleanup an
http://virus-protect.org/cleanup.html

oder loesche manuell alles unter
C:\Dokumente und Einstellungen\nein\Lokale Einstellungen\Temp\

28.10.2006 16:49 0 02s939.tmp
13.11.2006 23:36 0 0597A8C.tmp
22.11.2006 17:47 0 05v4CE0.tmp
06.05.2006 10:20 0 09q1769.tmp
19.04.2006 07:37 0 0a6FDD.tmp
usw.
usw.
usw.


Leere Ordner: (nicht die Ordner selbst löschen !)

1) Start -- Ausführen --> kopiere rein: %systemroot%/temp

2) Start -- Ausführen --> kopiere rein: %temp%

-------------------------------------------------------------------------

2.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\nein\Desktop\mssetup.exe
C:\Dokumente und Einstellungen\nein\Desktop\setup.exe
C:\Dokumente und Einstellungen\nein\Desktop\surfbar.exe

poste die reporte

3.
poste noch mal das log von listenbat (als Anhang - siehe unten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.01.2007, 13:34
Member

Themenstarter

Beiträge: 17
#15 also alle .tmp dateien löschen im ordner C:\Dokumente und Einstellungen\nein\Lokale Einstellungen\Temp\ ????

ehm es ist noch ein neues problem dazu gekommen :/ :
ich kann im IE (version 6.0) die startseite nicht mehr ändern. das feld ist grau hinterlegt halt so das man nix ändern kann :/ .... da gibet ja den registry eintrag: HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel\ HomePage hab dort den schlüssel HomePage gelöscht ..aber es tritt keine änderung auf :/

1) Start -- Ausführen --> kopiere rein: %systemroot%/temp ---> ordner war leer

2) Start -- Ausführen --> kopiere rein: %temp% ---> alles gelöscht bis auf ~DF2229.tmp ; ~DF2942.tmp ; ~DF2234.tmp datei wird von anderer person benutzt blabla^^


surfbar.exe:

Antivirus Version Update Result
AntiVir 7.3.0.32 01.26.2007 no virus found
Authentium 4.93.8 01.26.2007 no virus found
Avast 4.7.936.0 01.26.2007 no virus found
AVG 386 01.26.2007 no virus found
BitDefender 7.2 01.26.2007 no virus found
CAT-QuickHeal 9.00 01.26.2007 no virus found
ClamAV devel-20060426 01.26.2007 no virus found
DrWeb 4.33 01.26.2007 no virus found
eSafe 7.0.14.0 01.26.2007 no virus found
eTrust-InoculateIT 23.73.124 01.26.2007 no virus found
eTrust-Vet 30.3.3352 01.26.2007 no virus found
Ewido 4.0 01.26.2007 no virus found
Fortinet 2.85.0.0 01.26.2007 no virus found
F-Prot 4.2.1.29 01.25.2007 no virus found
Ikarus T3.1.0.27 01.26.2007 no virus found
Kaspersky 4.0.2.24 01.26.2007 no virus found
McAfee 4949 01.26.2007 no virus found
Microsoft 1.2101 01.26.2007 no virus found
NOD32v2 2009 01.26.2007 no virus found
Norman 5.80.02 01.26.2007 no virus found
Panda 9.0.0.4 01.26.2007 Suspicious file
Prevx1 V2 01.26.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 no virus found
TheHacker 6.0.3.158 01.26.2007 no virus found
UNA 1.83 01.26.2007 no virus found
VBA32 3.11.2 01.26.2007 no virus found
VirusBuster 4.3.19:9 01.26.2007 no virus found

Aditional Information
File size: 825856 bytes
MD5: 61074fd0c1d75c5eae5bcdd6c6369d76
SHA1: fc637e2407b8aab70519ce59209a3051520e4f79

setup.exe

STATUS: FINISHED
Complete scanning result of "setup.exe", received in VirusTotal at 01.26.2007, 14:57:51 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.32 01.26.2007 no virus found
Authentium 4.93.8 01.26.2007 no virus found
Avast 4.7.936.0 01.26.2007 no virus found
AVG 386 01.26.2007 no virus found
BitDefender 7.2 01.26.2007 no virus found
CAT-QuickHeal 9.00 01.26.2007 no virus found
ClamAV devel-20060426 01.26.2007 no virus found
DrWeb 4.33 01.26.2007 BACKDOOR.Trojan - archive BINARYRES
eSafe 7.0.14.0 01.26.2007 no virus found
eTrust-InoculateIT 23.73.124 01.26.2007 no virus found
eTrust-Vet 30.3.3352 01.26.2007 no virus found
Ewido 4.0 01.26.2007 no virus found
Fortinet 2.85.0.0 01.26.2007 no virus found
F-Prot 4.2.1.29 01.25.2007 no virus found
Ikarus T3.1.0.27 01.26.2007 no virus found
Kaspersky 4.0.2.24 01.26.2007 no virus found
McAfee 4949 01.26.2007 no virus found
Microsoft 1.2101 01.26.2007 no virus found
NOD32v2 2009 01.26.2007 no virus found
Norman 5.80.02 01.26.2007 no virus found
Panda 9.0.0.4 01.26.2007 no virus found
Prevx1 V2 01.26.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 no virus found
TheHacker 6.0.3.158 01.26.2007 no virus found
UNA 1.83 01.26.2007 no virus found
VBA32 3.11.2 01.26.2007 no virus found
VirusBuster 4.3.19:9 01.26.2007 no virus found

Aditional Information
File size: 1165987 bytes
MD5: 3463f8dafa4b63cc9ebff90b7d581390
SHA1: 364396bf0fdd865399005b18b24a3dd4e34cc6e5
packers: BINARYRES, ASPACK, ASPACK

mssetup.exe
STATUS: FINISHED
Complete scanning result of "mssetup.exe", received in VirusTotal at 01.26.2007, 15:04:43 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.32 01.26.2007 no virus found
Authentium 4.93.8 01.26.2007 no virus found
Avast 4.7.936.0 01.26.2007 no virus found
AVG 386 01.26.2007 no virus found
BitDefender 7.2 01.26.2007 no virus found
CAT-QuickHeal 9.00 01.26.2007 no virus found
ClamAV devel-20060426 01.26.2007 no virus found
DrWeb 4.33 01.26.2007 no virus found
eSafe 7.0.14.0 01.26.2007 no virus found
eTrust-InoculateIT 23.73.124 01.26.2007 no virus found
eTrust-Vet 30.3.3352 01.26.2007 no virus found
Ewido 4.0 01.26.2007 no virus found
Fortinet 2.85.0.0 01.26.2007 no virus found
F-Prot 4.2.1.29 01.25.2007 no virus found
Ikarus T3.1.0.27 01.26.2007 no virus found
Kaspersky 4.0.2.24 01.26.2007 no virus found
McAfee 4949 01.26.2007 no virus found
Microsoft 1.2101 01.26.2007 no virus found
NOD32v2 2009 01.26.2007 no virus found
Norman 5.80.02 01.26.2007 no virus found
Panda 9.0.0.4 01.26.2007 no virus found
Prevx1 V2 01.26.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 no virus found
TheHacker 6.0.3.158 01.26.2007 no virus found
UNA 1.83 01.26.2007 no virus found
VBA32 3.11.2 01.26.2007 no virus found
VirusBuster 4.3.19:9 01.26.2007 no virus found

Aditional Information
File size: 3452240 bytes
MD5: e5881b54e0d9c2bd077769aa926f69c0
SHA1: fe27590bfd3459d1827c92d4891069e147ef1e20
packers: BINARYRES, SETUP FACTORY, UPX, ASPACK, ASPACK


dasmit de rlist.bat iss im post #10 da heir kein platz ist und ich ja kein neuen beitrag schreiben kann unter meinem eigenen ...
Dieser Beitrag wurde am 26.01.2007 um 15:56 Uhr von meuchel editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: