Bekomme Trojaner nicht wegThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
28.01.2007, 11:45
Member
Beiträge: 14 |
||
 
|
|
|
|
28.01.2007, 16:58
Ehrenmitglied
 Beiträge: 29434 |
#2
Zizou
Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {646E99DF-937F-455D-A4BA-2ABD5D34FE2F} in edit und klicke "Ok". Notepad wird sich öffnen -poste den text hier --------------------------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html »» scanne mit counterspy, stelle nach dem scan alles auf remove und poste hier den scanreport http://virus-protect.org/counterspy.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
30.01.2007, 07:33
Member
Themenstarter Beiträge: 14 |
#3
So hab alles so durchgeführt..
1.Regsearch Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 28.01.2007 18:50:59 for strings: ; '{646e99df-937f-455d-a4ba-2abd5d34fe2f}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{646E99DF-937F-455D-A4BA-2ABD5D34FE2F}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{646E99DF-937F-455D-A4BA-2ABD5D34FE2F}\iexplore] ; End Of The Log... 2. Avenger wie beschrieben durchgeführt 3. vundofix ohne Befund 4. Counterspy: Spyware Scan Details Start Date: 29.01.2007 07:18:57 End Date: 29.01.2007 07:33:56 Total Time: 14 mins 59 secs Detected spyware Virtumonde Adware (General) more information... Details: Virtumonde is an adware program that displays pop-up advertisements on the desktop. Virtumonde also downloads other software from various remote servers. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Araf15 Ipwins Adware (General) more information... Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IpWins HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IpWins SlowInfoCache HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IpWins Changed 0 MyGlobalSearch.Toolbar Potentially Unwanted Program more information... Details: MyGlobalSearch.Toolbar is an IE plugin with its own Search Field. Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404} HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\InprocServer32 C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL Cookie: Ajan 1.0 Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\oliver\cookies\oliver@xiti[1].txt ok,Kapersky mach mittlerweile auch keine Meldungen mehr, ist der PC jetzt sauber ? Muß ich noch irgendwas tun? Vielen Dank im Vorraus!! |
|
|
|
|
|
|
30.01.2007, 11:14
Ehrenmitglied
Beiträge: 29434 |
#4
Zizou
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4PC neustarten »» scanne mit Panda und poste den scanreport http://virus-protect.org/panda_online.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.02.2007, 08:02
Member
Themenstarter Beiträge: 14 |
#5
ok, alles so erledigt, Scanreport ergab 2 Befunde:
Incident Status Location Potentially unwanted tool:application/myglobalsearch Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{37B85A21-692B-4205-9CAD-2626E4993404} Potentially unwanted tool:application/funweb Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} Was jetzt? Danke nochmal!! |
|
|
|
|
|
|
01.02.2007, 11:21
Ehrenmitglied
Beiträge: 29434 |
#6
Zizou
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4PC neustarten « poste das neue log vom HijacktHIS + noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.02.2007, 07:10
Member
Themenstarter Beiträge: 14 |
#7
So die fix.reg ist drin,
Log Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 07:03:44, on 02.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Hijack This\hijackthis.exe C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {57287DB6-016A-4E91-81C8-AE2766ACF6EF} - C:\WINDOWS\system32\ddaya.dll (file missing) O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll" O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SonicWall VPN Client Service (RampartSvc) - SonicWALL, Inc. - C:\Programme\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe Log Datfindbat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08C1-239C Verzeichnis von C:\WINDOWS\Downloaded Program Files 27.11.2006 21:18 243 hyplug.inf 27.11.2006 21:18 454.656 hyplug.ocx 24.08.2006 08:28 141.424 asinst.dll 22.08.2006 09:06 537 asinst.inf 27.08.2005 13:30 5.065 swflash.inf 26.05.2005 11:24 65 desktop.ini 17.03.2005 13:48 113.152 MsnMessengerSetupDownloader.ocx 14.03.2005 12:39 227 MsnMessengerSetupDownloader.inf 20.01.2005 13:53 171 ampx.inf 20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 17:52 697 DirectAnimation Java Classes.osd 11 Datei(en) 717.399 Bytes 0 Verzeichnis(se), 19.092.312.064 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08C1-239C Verzeichnis von C:\ 02.02.2007 07:07 0 sys.txt 02.02.2007 07:07 862 down.txt 02.02.2007 07:07 289 tmp.txt 02.02.2007 07:06 5.908 system.txt 02.02.2007 07:06 1.908 systemtemp.txt 02.02.2007 07:06 106.709 system32.txt 02.02.2007 07:02 805.306.368 pagefile.sys 29.01.2007 07:11 186 VundoFix.txt 28.01.2007 18:58 5.296 avenger.txt 28.01.2007 11:57 6.248 ComboFix.txt 27.01.2007 16:59 520 hpfr3420.xml 27.01.2007 16:59 7.760 hpfr3425.log 09.01.2006 21:30 746 midi studio 11.Key 26.05.2005 14:26 211 boot.ini 26.05.2005 14:21 47.564 NTDETECT.COM 26.05.2005 14:21 251.184 ntldr 26.05.2005 11:59 637.863 LooknStop_Setup_205MEn.exe 26.05.2005 11:25 0 CONFIG.SYS 26.05.2005 11:25 0 IO.SYS 26.05.2005 11:25 0 MSDOS.SYS 26.05.2005 11:25 0 AUTOEXEC.BAT 29.08.2002 13:00 4.952 bootfont.bin 24.05.2001 12:59 162.304 UNWISE.EXE 23 Datei(en) 806.546.878 Bytes 0 Verzeichnis(se), 19.092.365.312 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08C1-239C Verzeichnis von C:\WINDOWS 02.02.2007 07:02 427.029 WindowsUpdate.log 02.02.2007 07:02 0 0.log 02.02.2007 07:02 159 wiadebug.log 02.02.2007 07:02 50 wiaservc.log 02.02.2007 07:02 2.048 bootstat.dat 02.02.2007 07:01 32.638 SchedLgU.Txt 31.01.2007 21:57 32 pavsig.txt 31.01.2007 20:40 1.116 win.ini 31.01.2007 20:27 676.292 setupapi.log 27.01.2007 17:17 116 NeroDigital.ini 17.01.2007 20:16 1.125 winamp.ini 15.01.2007 21:56 1.409 QTFont.for 15.01.2007 21:56 54.156 QTFont.qfn 13.01.2007 09:02 181.057 setupact.log 04.01.2007 07:41 53.511 wmsetup.log 06.12.2006 22:37 316.640 WMSysPr9.prx 06.12.2006 21:59 19 SoundConverter.INI 27.11.2006 22:25 888 mixerdef.ini 27.11.2006 22:25 113 CMISETUP.INI 27.11.2006 22:25 26 CMCDPLAY.INI 27.11.2006 21:35 286.720 iun506.exe 23.05.2006 17:30 47.894 UNNMP.cfg 23.05.2006 17:30 59.165 NuNinst.cfg 23.05.2006 17:30 55.784 UNMRW.cfg 25.01.2006 14:39 737.280 iun6002.exe 11.01.2006 23:32 191 setuplog 09.01.2006 21:41 44.784 MAGIX midi studio 11.PRF 09.01.2006 21:30 90 AudStu.INI 10.12.2005 18:30 916 IE4 Error Log.txt 21.11.2005 20:29 161.314 iis6.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08C1-239C Verzeichnis von C:\DOKUME~1\Oliver\LOKALE~1\Temp 02.02.2007 07:03 32.768 ~DF7958.tmp 02.02.2007 07:02 16.384 ~DF588C.tmp 02.02.2007 07:02 49.152 ~DF1587.tmp 02.02.2007 06:59 32.768 ~DFE95C.tmp 02.02.2007 06:58 16.384 ~DF24F8.tmp 02.02.2007 06:58 49.152 ~DFDAFC.tmp 01.02.2007 20:57 32.768 ~DF20B1.tmp 01.02.2007 20:57 16.384 ~DF9CAA.tmp 01.02.2007 20:57 49.152 ~DF62AE.tmp 01.02.2007 07:49 32.768 ~DFAD05.tmp 01.02.2007 07:48 16.384 ~DF1B9.tmp 01.02.2007 07:48 49.152 ~DF47FF.tmp 01.02.2007 02:00 16.384 ~DFEC2D.tmp 31.01.2007 21:50 49.152 ~DFF2E9.tmp 31.01.2007 21:50 32.768 ~DF65A9.tmp 31.01.2007 21:49 16.384 ~DFC1D.tmp 31.01.2007 20:31 0 CacheInfo.dnl 31.01.2007 20:18 49.152 ~DFD847.tmp 31.01.2007 20:18 32.768 ~DF4E38.tmp 31.01.2007 20:17 16.384 ~DFAEE7.tmp 31.01.2007 20:08 49.152 ~DFCB12.tmp 31.01.2007 20:08 32.768 ~DF3168.tmp 31.01.2007 20:07 16.384 ~DFBBF6.tmp 30.01.2007 07:32 1.212.416 ~DF9400.tmp 30.01.2007 07:23 49.152 ~DF8153.tmp 30.01.2007 07:23 32.768 ~DFC300.tmp 30.01.2007 07:23 16.384 ~DF8669.tmp 29.01.2007 21:04 49.152 ~DFB14.tmp 29.01.2007 21:04 32.768 ~DF5638.tmp 29.01.2007 21:04 16.384 ~DFD5F7.tmp 29.01.2007 07:18 1.212.416 ~DF6E4.tmp 29.01.2007 07:13 49.152 ~DFDA7E.tmp 29.01.2007 07:13 32.768 ~DFCB54.tmp 29.01.2007 07:13 16.384 ~DF4B4D.tmp 34 Datei(en) 3.424.256 Bytes 0 Verzeichnis(se), 19.092.606.976 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08C1-239C Verzeichnis von C:\WINDOWS\Temp 28.01.2007 14:13 16.384 Perflib_Perfdata_b9c.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 19.092.647.936 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 08C1-239C Verzeichnis von C:\WINDOWS\system32 02.02.2007 07:02 2.422 wpa.dbl 31.01.2007 21:57 2.550 Uninstall.ico 31.01.2007 21:57 1.406 Help.ico 31.01.2007 21:57 30.590 pavas.ico 31.01.2007 20:40 0 asfiles.txt 04.01.2007 07:41 16.832 amcompat.tlb 04.01.2007 07:41 23.392 nscompat.tlb 09.12.2006 12:27 305.216 FNTCACHE.DAT 01.11.2006 17:42 94.314 klogon.dll 29.10.2006 03:19 314.508 perfh009.dat 29.10.2006 03:19 40.836 perfc009.dat 29.10.2006 03:19 320.094 perfh007.dat |
|
|
|
|
|
|
02.02.2007, 10:11
Ehrenmitglied
Beiträge: 29434 |
#8
Zizou
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {57287DB6-016A-4E91-81C8-AE2766ACF6EF} - C:\WINDOWS\system32\ddaya.dll (file missing)PC neustarten »» dann sollte wieder alles i.o. sein - oder gibt es noch Probleme ???? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.02.2007, 15:01
Member
Themenstarter Beiträge: 14 |
#9
Hi, scheint alles wieder ok zu sein.
Kann den Vorschlaghammer wieder in den Keller räumen  Vielen vielen Dank nochmal!!! Gruß Oliver |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
bekomme von Kapersky folgende Meldungen:
gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\WINDOWS\Explorer.EXE
gefunden: trojanisches Programm Trojan.Win32.BHO.g URL: 82.98.235.61/wtf/aligator.dll?uid...0D1C1AECA82033C
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\winlogon.exe
Trotz mehrmaligen Versuchen bekomm ichs nicht runter, sprich Kapersky kann es nicht löschen,
hab mit AVG, Spybot und AD Adware mehrmals gescannt und kriege noch immer Meldungen
Anbei der Log von HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 11:07:22, on 28.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Crazy Browser\Crazy Browser.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Oliver\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {646E99DF-937F-455D-A4BA-2ABD5D34FE2F} - C:\WINDOWS\system32\ddaya.dll
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmes...pdownloader.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll"
O20 - Winlogon Notify: ddaya - C:\WINDOWS\system32\ddaya.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: winkve32 - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SonicWall VPN Client Service (RampartSvc) - SonicWALL, Inc. - C:\Programme\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe
Report combofix:
C:\WINDOWS\system32\unsvchosts.lzma
C:\INSTALL.LOG
C:\Programme\Gemeinsame Dateien\{08C12~1
C:\Programme\Gemeinsame Dateien\{38C12~1
C:\Programme\Ipwindows
C:\Programme\VSAdd-in
((((((((((((((((((((((((((((((( Files Created from 2006-12-28 to 2007-01-28 ))))))))))))))))))))))))))))))))))
2007-01-28 10:50 <DIR> d----c--- C:\!KillBox
2007-01-13 11:51 454,885 ---hs---- C:\WINDOWS\system32\ayadd.bak2
2007-01-08 21:22 <DIR> d----c--- C:\DOKUME~1\Oliver\Anwendungsdaten\Lavasoft
2007-01-08 21:22 <DIR> d-------- C:\Programme\Lavasoft
2007-01-08 19:57 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Spybot - Search & Destroy
2007-01-08 18:59 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-01-08 18:59 <DIR> d-------- C:\Programme\Grisoft
2007-01-06 09:54 489,476 ---hs---- C:\WINDOWS\system32\ayadd.ini2
2007-01-06 09:05 486,227 ---hs---- C:\WINDOWS\system32\ayadd.bak1
2007-01-06 09:04 277,044 ---hs---- C:\WINDOWS\system32\ddaya.dll
2007-01-06 08:58 22,541 ---hs---- C:\WINDOWS\system32\awtrstq.dll
2006-12-30 12:56 <DIR> d-------- C:\Programme\DVDFab Decrypter 3
2006-12-30 12:42 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Elaborate Bytes
2006-12-30 12:40 <DIR> d-------- C:\Programme\Elaborate Bytes
2006-12-30 11:30 <DIR> d----c--- C:\DOKUME~1\Oliver\Anwendungsdaten\Ahead
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-01-13 12:20 -------- d-------- C:\Programme\kaspersky lab
2007-01-08 18:52 -------- d-------- C:\Programme\microsoft antispyware
2007-01-08 07:38 -------- d-------- C:\Programme\msn messenger
2006-12-31 19:19 -------- d-------- C:\Programme\winamp
2006-12-30 11:54 -------- d-------- C:\Programme\dvd shrink de
2006-12-27 20:46 -------- d-------- C:\Programme\avisynth 2.5
2006-12-19 21:30 -------- d-------- C:\Programme\avi2dvd
2006-12-19 21:25 -------- d-------- C:\Programme\xilisoft
2006-12-17 19:58 -------- d-------- C:\Programme\dvd decrypter
2006-12-16 19:55 -------- d-------- C:\Programme\divx
2006-12-09 01:22 -------- d-------- C:\Programme\lightscribe
2006-12-08 01:01 -------- d-------- C:\Programme\Gemeinsame Dateien\surething shared
2006-12-08 00:57 -------- d-------- C:\Programme\ahead
2006-12-08 00:49 -------- d-------- C:\Programme\Gemeinsame Dateien\lightscribe
2006-12-06 22:38 -------- d-------- C:\Programme\Gemeinsame Dateien\nero
2006-12-06 22:36 -------- d-------- C:\Programme\Gemeinsame Dateien\ahead
2006-12-06 22:25 0 --a--c--- C:\DOKUME~1\Oliver\Anwendungsdaten\sversion.ini
2006-12-06 22:05 -------- d-------- C:\Programme\pci audio applications
2006-12-06 21:58 -------- d--h----- C:\Programme\installshield installation information
2006-12-06 21:56 -------- d-------- C:\Programme\quicktime
2006-12-06 21:50 -------- d----c--- C:\DOKUME~1\Oliver\Anwendungsdaten\sun
2006-11-27 21:35 286720 --a------ C:\WINDOWS\iun506.exe
2006-11-01 17:42 94314 --a------ C:\WINDOWS\system32\klogon.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Start WingMan Profiler"=""
"Creative WebCam Tray"="\"C:\\Programme\\Creative\\Shared Files\\CamTray.exe\""
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Look 'n' Stop"="\"C:\\Program Files\\Soft4Ever\\looknstop\\looknstop.exe\" -auto"
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"=""C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddaya
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winkve32
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1124791112.job
Completion time: 07-01-28 11:57:03
Befund Datfindbat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C1-239C
Verzeichnis von C:\
28.01.2007 12:06 0 sys.txt
28.01.2007 12:06 766 down.txt
28.01.2007 12:06 272 tmp.txt
28.01.2007 12:06 5.906 system.txt
28.01.2007 12:05 355 systemtemp.txt
28.01.2007 12:03 106.462 system32.txt
28.01.2007 11:57 6.248 ComboFix.txt
28.01.2007 08:14 805.306.368 pagefile.sys
27.01.2007 16:59 520 hpfr3420.xml
27.01.2007 16:59 7.760 hpfr3425.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C1-239C
Verzeichnis von C:\WINDOWS\system32
28.01.2007 08:17 2.422 wpa.dbl
27.01.2007 16:46 489.476 ayadd.ini2
13.01.2007 12:32 965.057 qtvckrog.ini
13.01.2007 12:30 454.885 ayadd.bak2
13.01.2007 12:01 965.714 ampotnro.ini
06.01.2007 09:59 487.743 ayadd.ini
06.01.2007 09:54 487.692 ayadd.tmp
06.01.2007 09:05 486.227 ayadd.bak1
06.01.2007 09:04 277.044 ddaya.dll
06.01.2007 08:58 22.541 awtrstq.dll
04.01.2007 07:41 16.832 amcompat.tlb
04.01.2007 07:41 23.392 nscompat.tlb
09.12.2006 12:27 305.216 FNTCACHE.DAT
01.11.2006 17:42 94.314 klogon.dll
29.10.2006 03:19 314.508 perfh009.dat
29.10.2006 03:19 40.836 perfc009.dat
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C1-239C
Verzeichnis von C:\WINDOWS
28.01.2007 10:16 438 klif.spi
28.01.2007 08:20 383.481 WindowsUpdate.log
28.01.2007 08:15 0 0.log
28.01.2007 08:14 159 wiadebug.log
28.01.2007 08:14 50 wiaservc.log
28.01.2007 08:14 2.048 bootstat.dat
27.01.2007 17:54 32.638 SchedLgU.Txt
27.01.2007 17:17 116 NeroDigital.ini
17.01.2007 20:16 1.125 winamp.ini
15.01.2007 21:56 1.409 QTFont.for
15.01.2007 21:56 54.156 QTFont.qfn
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C1-239C
Verzeichnis von C:\DOKUME~1\Oliver\LOKALE~1\Temp
28.01.2007 11:02 16.384 ~DF229C.tmp
28.01.2007 09:58 16.384 Perflib_Perfdata_4cc.dat
2 Datei(en) 32.768 Bytes
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C1-239C
Verzeichnis von C:\WINDOWS\Temp
28.01.2007 09:03 32.768 PR2.tmp
1 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 19.159.191.552 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C1-239C
Verzeichnis von C:\WINDOWS\Downloaded Program Files
27.11.2006 21:18 243 hyplug.inf
27.11.2006 21:18 454.656 hyplug.ocx
27.08.2005 13:30 5.065 swflash.inf
26.05.2005 11:24 65 desktop.ini
17.03.2005 13:48 113.152 MsnMessengerSetupDownloader.ocx
14.03.2005 12:39 227 MsnMessengerSetupDownloader.inf
20.01.2005 13:53 171 ampx.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
9 Datei(en) 575.438 Bytes
0 Verzeichnis(se), 19.159.126.016 Bytes frei
Wäre nett wenn mir jemand helfen könnte...