Troger, Smitfraud, PestTrap: Bekomme nichts gelöscht

#0
21.03.2007, 12:02
...neu hier

Beiträge: 3
#1 Hallo

Habe mir gestern einen üblichen Trojaner eingfangen, der sich nicht löschen lässt. Sypboot - Search & Destroy zeigt mir in der Registry einen Smitfraud-C. und einen PestTrap an. Habe die nun öfters gelöscht aber nach einem Reboot kommen sie wieder. (Anmerkung: Es geht um diese "Internet Security" Sache). Habe unter Programme einen neuen Ordner mit diesem Namen und die unkludierten exe.-Files lassen sich nicht löschen. Desweiteren habe ich, wenn ich den IE-Starte, jedesmal anstatt google einen security-site offen. Letztlich habe ich noch unter C:\\Windows\Temp ein File namens: Perfilb_Perfdata_338.dat stehen. Ist das normal?

Links unten öffnen sich alle 2 minuten irgendwelche security meldungen, die vorher noch nie da waren. habe alle meldungen ignoriert und auch nichts installiert.

Ich bitte um Hilfe, da am verzweifeln........Lieben Dank vorab

Anbei die Files und im Anhang noch PrintScreen von der IE-Site.


ogfile of HijackThis v1.99.1
Scan saved at 11:10:00, on 21.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Security\isamntr.exe
C:\Programme\Internet Security\pmsnrr.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Internet Security\pmmnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Security\isamini.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Softwaree\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\SOFTWA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = msbproxy.sulzer.ch:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Internet Security\isadd.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Softwaree\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Frango Batch Server (FrangoServerBatch) - Frango AB - C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe
O23 - Service: Frango License Server (frLicServer) - Unknown owner - C:\Programme\Cognos\Cognos Controller\Server\frlicserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

-------------------------------------------------------------------



"MS" - 07-03-21 11:29:43 Service Pack 2
ComboFix 07-03-21.3 - Running from: "C:\Dokumente und Einstellungen\MS\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\microsoft shared\web folders\ibm00001.dll


((((((((((((((((((((((((((((((( Files Created from 2007-02-21 to 2007-03-21 ))))))))))))))))))))))))))))))))))


2007-03-20 20:53 814,592 --a------ C:\WINDOWS\is-3OF2R.exe
2007-03-20 20:53 <DIR> d-------- C:\Programme\Registry System Wizard
2007-03-20 20:32 <DIR> d-------- C:\Rustbfix
2007-03-20 20:19 <DIR> d-------- C:\!KillBox
2007-03-20 20:14 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe
2007-03-20 20:14 8,234 --a------ C:\clean.bat
2007-03-20 20:14 53,248 --a------ C:\WINDOWS\system32\process.exe
2007-03-20 20:14 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2007-03-20 20:14 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2007-03-20 20:14 38,400 --a------ C:\WINDOWS\system32\moveex.exe
2007-03-20 12:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-03-20 12:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-03-20 12:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2007-03-20 11:55 <DIR> d-------- C:\Programme\Internet Security
2007-03-19 12:32 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\SecondLife
2007-03-10 23:44 <DIR> d-------- C:\Programme\Skype
2007-03-08 14:30 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\GMX
2007-02-28 08:43 <DIR> d--hs---- C:\WINDOWS\ftpcache


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-20 14:28 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-20 10:28 7168 --a-s---- C:\WINDOWS\system32\onwtj.dll
2007-02-28 08:55 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\u3
2007-02-17 08:00 -------- dr------- C:\DOKUME~1\MS\ANWEND~1\brother
2007-02-11 19:33 3428 --a------ C:\WINDOWS\mozver.dat
2007-02-11 19:33 0 --a------ C:\WINDOWS\nsreg.dat
2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\thunderbird
2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\talkback
2007-02-10 11:20 -------- d-------- C:\Programme\limewire
2007-02-10 11:20 -------- d-------- C:\Programme\java
2007-02-10 11:12 -------- d--h----- C:\Programme\installshield installation information
2007-02-10 11:12 -------- d-------- C:\Programme\kazaa
2007-02-10 08:51 10 --a------ C:\WINDOWS\smdat32m.sys
2007-02-03 14:13 65 --a------ C:\WINDOWS\system32\bd7820n.dat
2007-02-03 14:12 -------- d-------- C:\Programme\common files
2007-02-03 14:12 -------- d-------- C:\Programme\brother
2007-01-31 19:15 -------- d-------- C:\Programme\scansoft
2007-01-31 19:15 -------- d-------- C:\Programme\Gemeinsame Dateien\scansoft shared
2007-01-25 17:57 -------- d-------- C:\Programme\winamp


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"LtMoh"="C:\\Programme\\ltmoh\\Ltmoh.exe"
"MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe"
"AVStation premium"="\"C:\\Programme\\Samsung\\AVStation premium\\bin\\AVStation agent.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{ceca6f2b-247b-4ece-9b7a-d0135c8036fc}"="chitosan"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"user32.dll"="C:\\Programme\\Internet Security\\isamntr.exe"
"rare"="C:\\Programme\\Internet Security\\pmsnrr.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{427c001c-7d53-11da-ae62-001377033a85}]
Shell\AutoRun\command F:\LaunchU3.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-21 11:35:31




vielen dank vorab


[/u]

Seitenanfang Seitenende
21.03.2007, 12:15
Moderator

Beiträge: 7805
#2 Du kannst ersteinmal http://siri.geekstogo.com/SmitfraudFix_De.php nutzen, aber das reicht noch nicht. Da sind div. andere Dinge(need2find usw).

Danach aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) ZUusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben.

Dann den Rechner neu starten, poste den Bericht, den Antivir im abgesicherten Modus erstellt hat, den Combofix Report und dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen).

Dann kann Sabina sich um den Rest kuemmern.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.03.2007, 14:14
...neu hier

Themenstarter

Beiträge: 3
#3 hallo ralf, anbei die gewünschten reports (hijackthis and combofix)
es scheint so, als ob das problem behoben ist. es läuft, zumindest für mich als security-laie, alles wieder normal. antivir im abgesichterten modus läuft bei mir leider nicht.

mein spybot - search & destroy berichtet nun auch keine "spione" mehr...

gibt es noch probleme gemäss den berichten?

wenn nein, dann bedanke ich mich jetzt schon mal recht herzlich für den hinweis. klasse board und toll das es solche profis gibts, die einem unbürokratisch und schnell hilfe leisten.

-----------------------------------------------------------------
ogfile of HijackThis v1.99.1
Scan saved at 13:55:41, on 21.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Softwaree\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\SOFTWA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = msbproxy.sulzer.ch:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Internet Security\isadd.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Softwaree\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Frango Batch Server (FrangoServerBatch) - Frango AB - C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe
O23 - Service: Frango License Server (frLicServer) - Unknown owner - C:\Programme\Cognos\Cognos Controller\Server\frlicserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--------------------------------------------------------------------

"MS" - 07-03-21 14:01:05 Service Pack 2
ComboFix 07-03-21.3 - Running from: "C:\Dokumente und Einstellungen\MS\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2007-02-21 to 2007-03-21 ))))))))))))))))))))))))))))))))))


2007-03-21 12:31 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
2007-03-21 12:31 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-03-21 12:31 4,222 --a------ C:\WINDOWS\system32\tmp.reg
2007-03-21 12:31 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-03-21 12:31 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2007-03-20 20:53 814,592 --a------ C:\WINDOWS\is-3OF2R.exe
2007-03-20 20:53 <DIR> d-------- C:\Programme\Registry System Wizard
2007-03-20 20:32 <DIR> d-------- C:\Rustbfix
2007-03-20 20:19 <DIR> d-------- C:\!KillBox
2007-03-20 20:14 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe
2007-03-20 20:14 8,234 --a------ C:\clean.bat
2007-03-20 20:14 53,248 --a------ C:\WINDOWS\system32\process.exe
2007-03-20 20:14 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2007-03-20 20:14 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2007-03-20 20:14 38,400 --a------ C:\WINDOWS\system32\moveex.exe
2007-03-20 12:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-03-20 12:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-03-20 12:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2007-03-19 12:32 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\SecondLife
2007-03-10 23:44 <DIR> d-------- C:\Programme\Skype
2007-03-08 14:30 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\GMX
2007-02-28 08:43 <DIR> d--hs---- C:\WINDOWS\ftpcache


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-21 12:38 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-21 12:28 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\apple computer
2007-02-28 08:55 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\u3
2007-02-17 08:00 -------- dr------- C:\DOKUME~1\MS\ANWEND~1\brother
2007-02-11 19:33 3428 --a------ C:\WINDOWS\mozver.dat
2007-02-11 19:33 0 --a------ C:\WINDOWS\nsreg.dat
2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\thunderbird
2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\talkback
2007-02-10 11:20 -------- d-------- C:\Programme\limewire
2007-02-10 11:20 -------- d-------- C:\Programme\java
2007-02-10 11:12 -------- d--h----- C:\Programme\installshield installation information
2007-02-10 11:12 -------- d-------- C:\Programme\kazaa
2007-02-10 08:51 10 --a------ C:\WINDOWS\smdat32m.sys
2007-02-03 14:13 65 --a------ C:\WINDOWS\system32\bd7820n.dat
2007-02-03 14:12 -------- d-------- C:\Programme\common files
2007-02-03 14:12 -------- d-------- C:\Programme\brother
2007-01-31 19:15 -------- d-------- C:\Programme\scansoft
2007-01-31 19:15 -------- d-------- C:\Programme\Gemeinsame Dateien\scansoft shared
2007-01-25 17:57 -------- d-------- C:\Programme\winamp


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"LtMoh"="C:\\Programme\\ltmoh\\Ltmoh.exe"
"MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe"
"AVStation premium"="\"C:\\Programme\\Samsung\\AVStation premium\\bin\\AVStation agent.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"user32.dll"="C:\\Programme\\Internet Security\\isamntr.exe"
"rare"="C:\\Programme\\Internet Security\\pmsnrr.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{427c001c-7d53-11da-ae62-001377033a85}]
Shell\AutoRun\command F:\LaunchU3.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************
Seitenanfang Seitenende
21.03.2007, 17:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Marcellzg

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.03.2007, 17:41
...neu hier

Themenstarter

Beiträge: 3
#5 wie gewünscht:-) and now?
was alles auf meinem desktop ist, wollte ich nicht zeigen, wird wohl auch hoffentlich nicht relevant sein.


Verzeichnis von C:\Windows\System32\Com

27.11.2006 21:17 <DIR> .
27.11.2006 21:17 <DIR> ..
04.08.2004 13:00 195.584 comadmin.dll
04.08.2004 13:00 61.440 comempty.dat
04.08.2004 13:00 77.348 comexp.msc
04.08.2004 13:00 9.728 comrepl.exe
04.08.2004 13:00 5.120 comrereg.exe
04.08.2004 13:00 19.456 mtsadmin.tlb
6 Datei(en) 368.676 Bytes
2 Verzeichnis(se), 64.098.836.480 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Windows\system32\config

21.03.2007 11:31 <DIR> .
21.03.2007 11:31 <DIR> ..
21.03.2007 13:40 524.288 AppEvent.Evt
21.03.2007 13:40 782.336 default
21.03.2007 11:32 786.432 default.bak
27.11.2006 22:09 262.144 default.sav
21.03.2007 13:48 28.672 SAM
21.03.2007 11:32 262.144 SAM.bak
04.01.2006 01:51 65.536 SecEvent.Evt
21.03.2007 13:48 57.344 SECURITY
21.03.2007 11:32 262.144 SECURITY.bak
27.11.2006 20:56 262.144 security.sav
21.03.2007 13:48 28.684.288 software
21.03.2007 11:32 28.835.840 software.bak
27.11.2006 22:09 28.311.552 software.sav
21.03.2007 11:01 524.288 SysEvent.Evt
21.03.2007 13:49 3.932.160 system
21.03.2007 11:32 3.932.160 system.bak
27.11.2006 22:09 3.670.016 system.sav
07.01.2006 08:02 <DIR> systemprofile
27.11.2006 22:09 262.144 userdiff
27.11.2006 21:20 262.144 userdifr
19 Datei(en) 101.707.776 Bytes
3 Verzeichnis(se), 64.098.832.384 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
11.03.2006 21:29 243 hyplug.inf
11.03.2006 21:29 454.656 hyplug.ocx
16.09.2003 18:05 299.008 isusweb.dll
30.06.2005 14:19 227 MsnMessengerSetupDownloader.inf
13.08.2005 23:26 113.664 MsnMessengerSetupDownloader.ocx
27.08.2005 13:30 5.065 swflash.inf
8 Datei(en) 1.094.047 Bytes
0 Verzeichnis(se), 64.098.832.384 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Programme\Common Files

03.02.2007 14:12 <DIR> .
03.02.2007 14:12 <DIR> ..
03.02.2007 14:12 <DIR> InstallShield
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 64.098.832.384 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Dokumente und Einstellungen\MS

21.03.2007 12:33 <DIR> .
21.03.2007 12:33 <DIR> ..
10.02.2007 11:54 <DIR> .limewire
04.01.2006 19:38 <DIR> Application Data
09.08.2006 14:46 28.672 atwbxdet.dll
09.08.2006 14:46 6.624 atwbxdet.tmp
26.06.2006 17:51 <DIR> Contacts
21.03.2007 17:35 <DIR> Desktop
12.03.2007 20:22 <DIR> Eigene Dateien
20.03.2007 20:01 <DIR> Favoriten
09.08.2006 14:47 17.906 gpc2k.php
25.02.2007 16:32 <DIR> Incomplete
06.04.2006 22:51 100 LuResult.txt
26.08.2006 11:16 <DIR> Phone Browser
07.01.2007 00:29 <DIR> Startmen
08.01.2006 09:54 <DIR> TwixTel
09.08.2006 14:47 125 webex.ini
5 Datei(en) 53.427 Bytes
12 Verzeichnis(se), 64.098.832.384 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Program Files

09.02.2007 22:58 <DIR> .
09.02.2007 22:58 <DIR> ..
09.08.2006 09:09 <DIR> WebEx
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 64.098.832.384 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temporary Internet Files\Content.IE5

21.03.2007 17:25 7.438.336 index.dat
1 Datei(en) 7.438.336 Bytes
0 Verzeichnis(se), 64.098.832.384 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp

21.03.2007 17:32 <DIR> .
21.03.2007 17:32 <DIR> ..
21.03.2007 16:15 14.535 Itinerary from BF (without client address).PDF
21.03.2007 14:50 0 JET2A5B.tmp
21.03.2007 13:50 0 JETE38A.tmp
21.03.2007 17:18 <DIR> msohtml
21.03.2007 17:18 <DIR> msohtml1
21.03.2007 16:32 737 TWAIN.LOG
21.03.2007 16:32 3 Twain001.Mtx
21.03.2007 16:32 156 Twunk001.MTX
21.03.2007 16:32 0 Twunk002.MTX
21.03.2007 16:31 16.400 ZTR11.tmp
21.03.2007 16:31 22.600 ZTR15.tmp
21.03.2007 16:31 10.864 ZTR19.tmp
21.03.2007 16:32 24.740 ZTR1D.tmp
21.03.2007 16:32 16.400 ZTR22.tmp
21.03.2007 16:32 22.600 ZTR26.tmp
21.03.2007 16:32 10.864 ZTR2A.tmp
21.03.2007 16:31 24.740 ZTRC.tmp
21.03.2007 17:30 512 ~DF7115.tmp
21.03.2007 17:28 512 ~DF9F8A.tmp
21.03.2007 17:28 512 ~DFA5A2.tmp
21.03.2007 13:50 16.384 ~DFF670.tmp
21.03.2007 17:30 142.848 ~WRC0001.tmp
21.03.2007 17:30 7.680 ~WRS0000.tmp
21 Datei(en) 333.087 Bytes
4 Verzeichnis(se), 64.098.828.288 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\WINDOWS\Temp

21.03.2007 16:32 <DIR> .
21.03.2007 16:32 <DIR> ..
21.03.2007 17:34 512 err_adm.log
21.03.2007 13:49 16.384 Perflib_Perfdata_194.dat
2 Datei(en) 16.896 Bytes
2 Verzeichnis(se), 64.098.828.288 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Programme

21.03.2007 12:35 <DIR> .
21.03.2007 12:35 <DIR> ..
18.03.2006 21:25 <DIR> ABViewer 5
31.01.2007 08:19 <DIR> Adobe
07.01.2006 22:13 <DIR> Ahead
04.01.2006 19:15 <DIR> Analog Devices
19.03.2007 23:09 <DIR> AntiVir PersonalEdition Classic
03.02.2007 14:12 <DIR> Brother
12.01.2006 06:12 <DIR> CCleaner
21.03.2007 11:15 <DIR> CleanUp!
04.01.2006 20:18 <DIR> Cognos
03.02.2007 14:12 <DIR> Common Files
04.01.2006 19:01 <DIR> ComPlus Applications
14.12.2006 21:43 <DIR> CrackPw2
08.01.2006 01:07 <DIR> FreePDF_XP
20.03.2007 12:21 <DIR> Gemeinsame Dateien
08.01.2006 01:06 <DIR> gs
20.03.2007 20:17 <DIR> HaxFix
04.01.2006 19:14 <DIR> Intel
27.11.2006 21:18 <DIR> Internet Explorer
20.05.2006 14:06 <DIR> iPod
20.05.2006 14:08 <DIR> iTunes
10.02.2007 11:20 <DIR> Java
10.02.2007 11:12 <DIR> Kazaa
10.02.2007 11:20 <DIR> LimeWire
04.01.2006 19:16 <DIR> ltmoh
09.01.2006 08:36 <DIR> MailOut
07.01.2006 08:06 <DIR> Messenger
28.11.2006 09:33 <DIR> Microsoft ActiveSync
07.01.2007 00:29 <DIR> microsoft frontpage
07.01.2007 00:23 <DIR> Microsoft Office
04.01.2006 19:46 <DIR> Microsoft SQL Server
27.11.2006 22:10 <DIR> Microsoft Visual Studio
04.01.2006 19:36 <DIR> Microsoft Works
04.01.2006 19:36 <DIR> Microsoft.NET
04.01.2006 19:02 <DIR> Movie Maker
21.03.2007 16:31 <DIR> Mozilla Thunderbird
04.01.2006 19:00 <DIR> MSN
04.01.2006 19:00 <DIR> MSN Gaming Zone
04.01.2006 19:21 <DIR> MSXML 4.0
04.01.2006 19:02 <DIR> NetMeeting
06.04.2006 22:47 <DIR> Norton AntiVirus
04.01.2006 19:00 <DIR> Online Services
04.01.2006 19:03 <DIR> Online-Dienste
27.11.2006 21:18 <DIR> Outlook Express
07.01.2006 22:04 <DIR> PIC
20.05.2006 14:09 <DIR> QuickTime
21.03.2007 12:37 <DIR> Registry System Wizard
07.01.2006 22:06 <DIR> Samsung
31.01.2007 19:15 <DIR> ScanSoft
04.01.2006 20:40 <DIR> Seagate Software
12.03.2007 20:22 <DIR> Skype
20.03.2007 12:33 <DIR> Spybot - Search & Destroy
06.04.2006 22:50 <DIR> Symantec
04.01.2006 19:16 <DIR> Synaptics
26.08.2006 10:54 <DIR> Ulead Systems
25.01.2007 17:57 <DIR> Winamp
27.11.2006 21:18 <DIR> Windows Media Player
07.01.2006 22:21 <DIR> Windows Media-Komponenten
04.01.2006 19:00 <DIR> Windows NT
04.01.2006 19:05 <DIR> xerox
0 Datei(en) 0 Bytes
61 Verzeichnis(se), 64.098.824.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten

31.01.2007 08:23 <DIR> Adobe
22.04.2006 11:30 <DIR> Ahead
20.05.2006 14:09 <DIR> Apple Computer
21.08.2006 08:49 <DIR> ApplicationHistory
21.08.2006 08:09 <DIR> assembly
21.03.2007 15:28 194.560 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
09.01.2006 18:49 135 fusioncache.dat
07.01.2007 18:48 67.072 GDIPFONTCACHEV1.DAT
07.01.2006 22:20 <DIR> Help
06.01.2006 20:50 <DIR> Identities
21.03.2007 14:20 <DIR> Microsoft
14.08.2006 19:04 <DIR> Mindjet
11.02.2007 19:33 <DIR> Thunderbird
20.01.2007 19:15 <DIR> WMTools Downloaded Files
15.03.2006 22:25 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142000}
3 Datei(en) 261.767 Bytes
12 Verzeichnis(se), 64.098.824.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Dokumente und Einstellungen\MS\Anwendungsdaten

06.03.2007 14:24 <DIR> Adobe
31.01.2007 08:22 <DIR> AdobeUM
21.03.2007 12:28 <DIR> Apple Computer
17.02.2007 08:00 <DIR> Brother
04.01.2006 20:32 <DIR> Cognos
26.08.2006 11:08 <DIR> DataLayer
08.03.2007 14:30 <DIR> GMX
07.01.2006 22:20 <DIR> Help
04.01.2006 19:10 <DIR> Identities
29.08.2006 19:29 <DIR> Leadertech
30.01.2006 22:03 <DIR> Macromedia
27.11.2006 21:36 <DIR> Microsoft Web Folders
11.02.2007 19:33 <DIR> Mozilla
26.08.2006 11:08 <DIR> Nokia
26.08.2006 11:05 <DIR> PC Suite
19.03.2007 12:34 <DIR> SecondLife
15.03.2006 22:25 <DIR> Sun
04.01.2006 19:30 <DIR> Symantec
11.02.2007 19:33 <DIR> Talkback
11.02.2007 19:33 <DIR> Thunderbird
28.02.2007 08:55 <DIR> U3
07.01.2006 22:22 <DIR> Ulead Systems
06.07.2006 09:23 <DIR> Yahoo!
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 64.098.824.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

06.04.2006 23:00 305 addr_file.html
31.01.2007 08:21 <DIR> Adobe
31.12.2006 10:53 <DIR> AntiVir PersonalEdition Classic
20.05.2006 14:08 <DIR> Apple Computer
31.01.2007 19:13 <DIR> Brother
24.11.2006 20:04 <DIR> Downloaded Installations
21.03.2007 12:28 1.755 QTSBandwidthCache
31.01.2007 19:15 <DIR> ScanSoft
20.03.2007 12:47 <DIR> Spybot - Search & Destroy
15.06.2006 06:03 <DIR> Symantec
27.07.2006 07:10 <DIR> TechSmith
26.08.2006 10:54 <DIR> Ulead Systems
08.01.2006 17:32 <DIR> Windows Genuine Advantage
2 Datei(en) 2.060 Bytes
11 Verzeichnis(se), 64.098.824.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Programme\Gemeinsame Dateien

20.03.2007 12:21 <DIR> .
20.03.2007 12:21 <DIR> ..
06.01.2006 21:47 <DIR> Adobe
07.01.2006 22:16 <DIR> Ahead
08.01.2006 23:47 <DIR> Borland Shared
04.01.2006 19:36 <DIR> DESIGNER
04.01.2006 19:02 <DIR> Dienste
11.03.2006 21:29 <DIR> Hypnotizer
03.02.2007 14:12 <DIR> InstallShield
15.03.2006 22:25 <DIR> Java
07.01.2007 00:29 <DIR> Microsoft Shared
04.01.2006 19:02 <DIR> MSSoap
05.02.2006 18:55 <DIR> NSV
04.01.2006 01:53 <DIR> ODBC
20.03.2007 12:21 <DIR> PC Tools
31.01.2007 19:15 <DIR> ScanSoft Shared
04.01.2006 01:53 <DIR> SpeechEngines
15.06.2006 09:04 <DIR> Symantec Shared
07.01.2007 00:23 <DIR> System
26.08.2006 10:54 <DIR> Ulead Systems
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 64.098.820.096 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 305B-B3D3

Verzeichnis von C:\Windows\tasks

21.03.2007 09:43 342 Symantec NetDetect.job
1 Datei(en) 342 Bytes
0 Verzeichnis(se), 64.098.820.096 Bytes frei
Seitenanfang Seitenende
21.03.2007, 18:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked

Zitat

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)

O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Internet Security\isadd.dll (file missing)

O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run|user32.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run|rare

Files to delete:
C:\WINDOWS\smdat32m.sys

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit ewido und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: