Home » Spyware & Browser Hijacker Support Forum » c:\BandObject.log » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

c:\BandObject.log

Thema ist geschlossen!

24.03.2007, 20:16

K4MF5T4RN

Member

Beiträge: 38

#1 Hallöchen zusammen...

jetzt wurde es leider auch für mich an dieser stelle zeit sich dann doch anzumelden, ich schäme mich so :-( nur leider bin ich entweder blind oder einfach zu dumm um es zu checken. ich möchte aber auch garnicht spamen, trotzdem, auch wenn du es schon viel zu oft gehört hast, möchte ich meinen respekt gegenüber deiner mühen und vor allem deiner geduld aussprechen, dir Sabina ^^ nun zum problem, vielleicht ist es auch banal :

die im titel genannte .log-file kopiert sich jedesmal beim booten auf c:\ . ich kenne meinen rechner und meine prozesse, gerade weil ich viel auf sehr riskanten seiten unterwegs bin, sehr gut und halte diese permanent im auge, nur weiss ich nicht wann, wie und woher das ding herkommt. muss aber auch ehrlich gestehen, dass ich mich jetzt intensiv mit dem problem noch nicht beschäftigt habe auf grund prüfungsstress. die hijack.log sagt darüber nichts aus, desweiteren habe ich den online-scan bei kasparsky durchlaufen lassen, nix.
da es sich um ein band-objekt handelt muss es sich ja um eine tool-bar handeln, die aber nicht drauf ist lol

. vielleicht kannst du mir, bevor ich unnötig den ganzen tag da dran hänge einen tip geben, wo ich suchen soll, am besten wie?

ich hoffe ich habe alles richtig gepostet und danke dir sehr im vorraus für deine mühen...

hier die reports zur info : (sry habe nicht drübergeschaut, und es kann sein, da ich im laufe des betriebssystems eigentlich alles schon drauf hatte, vor allem die W32 in jeder form lol

, dass vielleicht vereinzelt nicht mehr relevante reste zu finden sein werden, da ich die biester immer manuell entfernt habe)

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:54:07, on 24.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Unregistered\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166555454773
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172588016906
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B79D1376-8893-4F26-8DAC-9B77CA527264}: NameServer = 213.168.112.60 194.8.194.60
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC82-E44A

Verzeichnis von C:\WINDOWS\Downloaded Program Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC82-E44A

Verzeichnis von C:\WINDOWS\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC82-E44A

Verzeichnis von C:\DOKUME~1\UNREGI~1\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC82-E44A

Verzeichnis von C:\

24.03.2007 16:10 320 BandObject.log
24.03.2007 16:10 1.073.270.784 hiberfil.sys
24.03.2007 16:10 1.610.612.736 pagefile.sys
19.12.2006 18:18 211 boot.ini
19.12.2006 18:15 47.564 NTDETECT.COM
19.12.2006 18:15 251.184 ntldr
19.12.2006 18:07 0 CONFIG.SYS
19.12.2006 18:07 0 IO.SYS
19.12.2006 18:07 0 MSDOS.SYS
19.12.2006 18:07 0 AUTOEXEC.BAT
18.08.2001 20:00 4.952 bootfont.bin
17 Datei(en) 2.684.308.189 Bytes
0 Verzeichnis(se), 53.786.255.360 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC82-E44A

Verzeichnis von C:\WINDOWS

24.03.2007 17:45 69 NeroDigital.ini
24.03.2007 17:19 35.998 WindowsUpdate.log
24.03.2007 16:42 439 system.ini
24.03.2007 16:11 50 wiaservc.log
24.03.2007 16:11 159 wiadebug.log
24.03.2007 16:10 2.048 bootstat.dat
22.03.2007 01:33 0 Sti_Trace.log
22.03.2007 00:24 155.648 b.exe
20.03.2007 17:33 1.380 win.ini
10.03.2007 22:03 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.CDF
02.03.2007 00:09 52.224 ipuninst.exe
27.02.2007 16:15 316.640 WMSysPr9.prx
11.02.2007 04:36 356.352 eSellerateEngine.dll
09.02.2007 22:42 224 wininit.ini
17.01.2007 22:54 3.725 mozver.dat
02.01.2007 13:23 50 cdplayer.ini
25.12.2006 18:30 1.124 DFš-Optimierer_Uninstall.in
21.12.2006 15:53 1.038 CDPLAYER.UNI

Verzeichnis von C:\WINDOWS\system32

24.03.2007 16:10 88.556 nvapps.xml
24.03.2007 16:10 17.751 OODBS.lor
24.03.2007 16:08 1.080 settingsbkup.sfm
24.03.2007 16:08 11.564 DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
24.03.2007 16:08 1.080 settings.sfm
24.03.2007 16:08 32.592 BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
24.03.2007 16:08 32.088 BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
24.03.2007 16:08 32.088 BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
24.03.2007 16:08 32.592 BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
24.03.2007 13:11 2.228 wpa.dbl
17.03.2007 18:03 70.920 perfc009.dat
17.03.2007 18:03 422.106 perfh009.dat
17.03.2007 18:03 83.750 perfc007.dat
17.03.2007 18:03 3.796 PerfStringBackup.TMP
17.03.2007 18:03 437.148 perfh007.dat
10.03.2007 21:13 987.760 PerfStringBackup.INI
03.03.2007 19:47 98.304 CmdLineExt.dll
27.02.2007 16:17 23.392 nscompat.tlb
27.02.2007 16:17 16.832 amcompat.tlb
16.02.2007 10:54 49.152 QuickTime.qts
16.02.2007 10:54 65.536 QuickTimeVR.qtx
11.02.2007 22:56 10.752 BASSMOD.dll
11.02.2007 04:34 769 Wug_Inst.log
10.02.2007 14:18 0 asfiles.txt
10.02.2007 14:12 2.550 Uninstall.ico
10.02.2007 14:12 1.406 Help.ico
10.02.2007 14:12 30.590 pavas.ico
10.02.2007 14:06 0 tmp.txt
10.02.2007 14:06 2.498 tmp.reg
09.02.2007 23:27 2 wnstssv.exe
09.02.2007 21:12 2.560 unsvchosts.exe
09.02.2007 19:16 147.456 vbzip10.dll
01.02.2007 05:56 823.296 divx_xx07.dll
01.02.2007 05:56 823.296 divx_xx0c.dll

SmitFraudFix v2.154

Scan done at 19:50:23,71, 24.03.2007
Run from C:\Tools\Install\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Unregistered

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Unregistered\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\UNREGI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

die system32.txt habe ich im anhang die passt hier anscheinend nicht mehr drauf

Anhang: system32.txt

__________
AMD Phenom II X3 720 BE (Noctua NH-U12P) - GigaByte GA-MA790FXT-UD5P - 2GB Corsair DDR3 1333Mhz - 250GB SATAII 16MB - EVGA 9800GTX+ SSC - Audigy2 ZS - Enermax MODU82+ 625W

Dieser Beitrag wurde am 24.03.2007 um 20:45 Uhr von K4MF5T4RN editiert.

25.03.2007, 12:47

Sabina

Ehrenmitglied

Beiträge: 29434

#2 K4MF5T4RN

««
poste dises log
http://virus-protect.org/artikel/tools/combofix.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Files to delete:
C:\BandObject.log
C:\WINDOWS\b.exe
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\unsvchosts.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken

reinschreiben:3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

25.03.2007, 15:45

K4MF5T4RN

Member

Themenstarter

Beiträge: 38

#3 grüss dich sabina,

ich wäre nicht böse gewesen, wenn du dir den sonntag frei genommen hättest ^^

also die logs :

nettes tool, kannte ich garnicht:

Zitat

"Unregistered" - 07-03-25 14:11:51 Service Pack 2
ComboFix 07-03-23 - Running from: "C:\Tools\Install\Anti - Spy"

((((((((((((((((((((((((((((((( Files Created from 2007-02-25 to 2007-03-25 ))))))))))))))))))))))))))))))))))

2007-03-24 22:26 <DIR> d-------- C:\WINDOWS\Content.IE5
2007-03-24 19:02 <DIR> d-------- C:\Programme\Total Video Converter
2007-03-24 18:34 <DIR> d-------- C:\Programme\Xilisoft
2007-03-22 02:50 <DIR> d-------- C:\Programme\BearShare Pro
2007-03-22 02:26 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-03-17 18:50 33,792 --------- C:\WINDOWS\system32\mmcperf.exe
2007-03-17 18:50 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll
2007-03-17 18:50 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll
2007-03-17 18:50 <DIR> d-------- C:\WINDOWS\system32\de
2007-03-17 18:47 <DIR> d-------- C:\Programme\Windows Journal Viewer
2007-03-17 18:46 <DIR> d-------- C:\Programme\HighMAT CD Writing Wizard
2007-03-17 18:27 <DIR> d-------- C:\Programme\Shutdown4U
2007-03-15 16:02 <DIR> d-------- C:\Programme\iTunes
2007-03-15 16:02 <DIR> d-------- C:\Programme\iPod
2007-03-10 22:51 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-03-10 22:47 <DIR> d-------- C:\Programme\Lavalys
2007-03-10 19:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
2007-03-10 17:48 <DIR> d-------- C:\Programme\AVI MPEG RM WMV Joiner
2007-03-10 17:46 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll
2007-03-03 23:19 <DIR> d-------- C:\Programme\Allzeit Atomzeit
2007-03-03 20:47 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-03-03 20:4kk6 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2007-03-03 20:24 <DIR> d-------- C:\Programme\Smart Projects
2007-03-03 19:06 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2007-03-02 01:09 52,224 --a------ C:\WINDOWS\ipuninst.exe
2007-03-01 19:54 <DIR> d-------- C:\DOKUME~1\UNREGI~1\ANWEND~1\DivX
2007-02-27 17:13 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-02-27 16:57 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-02-27 16:50 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Office Genuine Advantage

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-03-25 12:41 83750 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 12:41 437148 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-24 22:30 2544 --a------ C:\WINDOWS\system32\tmp.reg
2007-03-22 02:29 -------- d-------- C:\Programme\xpcleanv5
2007-03-19 04:57 -------- d--h----- C:\Programme\installshield installation information
2007-03-19 04:57 -------- d-------- C:\Programme\cyberlink
2007-03-15 16:02 -------- d-------- C:\Programme\quicktime
2007-03-15 16:01 -------- d-------- C:\Programme\apple software update
2007-03-10 17:17 -------- d-------- C:\Programme\msn messenger
2007-03-10 17:17 -------- d-------- C:\Programme\messenger plus! live
2007-03-08 16:35 -------- d-------- C:\Programme\microsoft.net
2007-03-03 21:23 646392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-03-02 13:33 -------- d-------- C:\Programme\easy cd-da extractor 10
2007-03-01 16:16 -------- d-------- C:\Programme\divx
2007-02-27 17:17 -------- d-------- C:\Programme\windows media connect 2
2007-02-23 22:25 -------- d-------- C:\Programme\winace
2007-02-23 21:48 -------- d-------- C:\Programme\oo software
2007-02-22 21:12 -------- d-------- C:\Programme\ivt corporation
2007-02-18 19:05 -------- d-------- C:\DOKUME~1\UNREGI~1\ANWEND~1\help
2007-02-16 19:07 -------- d-------- C:\Programme\winamp
2007-02-12 01:05 -------- d-------- C:\Programme\jv16 powertools 2006
2007-02-11 05:36 356352 --a------ C:\WINDOWS\esellerateengine.dll
2007-02-10 15:34 -------- d-------- C:\Programme\messenger
2007-02-10 00:27 2 --a------ C:\WINDOWS\system32\wnstssv.exe
2007-02-09 23:43 -------- d--h----- C:\Programme\Gemeinsame Dateien\uninstall information
2007-02-09 20:16 147456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-02-05 18:33 -------- d-------- C:\Programme\CCleaner
2007-02-01 06:56 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-02-01 06:56 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-02-01 06:56 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-02-01 06:56 639066 --a------ C:\WINDOWS\system32\divx.dll
2007-01-31 23:27 524288 --a------ C:\WINDOWS\system32\divxsm.exe
2007-01-31 16:51 -------- d-------- C:\DOKUME~1\UNREGI~1\ANWEND~1\teamspeak2
2007-01-31 01:15 118784 --a------ C:\WINDOWS\system32\divxcodecupdatechecker.exe
2007-01-30 07:03 36624 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-01-30 07:03 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-01-30 07:03 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-01-30 07:03 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-01-30 07:03 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-01-30 07:03 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-01-30 07:03 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-01-30 06:56 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-01-30 06:56 593920 --a------ C:\WINDOWS\system32\dpugui11.dll
2007-01-30 06:56 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-01-30 06:56 53248 --a------ C:\WINDOWS\system32\dpugui10.dll
2007-01-30 06:56 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-01-30 06:56 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-01-30 06:56 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-01-30 06:56 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-01-23 16:15 676224 --a------ C:\WINDOWS\system32\ogacheckcontrol.dll
2007-01-19 13:53 51056 --a------ C:\WINDOWS\system32\sirenacm.dll
2007-01-17 23:54 3725 --a------ C:\WINDOWS\mozver.dat
2007-01-12 23:47 707344 --a------ C:\WINDOWS\system32\oodag.exe
2007-01-12 23:39 121616 --a------ C:\WINDOWS\system32\oodbs.exe
2007-01-12 23:21 17168 --a------ C:\WINDOWS\system32\oodagrs.dll
2007-01-12 23:21 17168 --a------ C:\WINDOWS\system32\oodagmg.dll
2007-01-12 23:21 11536 --a------ C:\WINDOWS\system32\oodbsrs.dll
2007-01-12 19:52 16656 --a------ C:\WINDOWS\system32\ootmapi.dll
2006-12-19 18:59 62 --ahs---- C:\DOKUME~1\UNREGI~1\ANWEND~1\desktop.ini

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SNPSTD2"="C:\\WINDOWS\\vsnpstd2.exe"
"Logitech Hardware Abstraction Layer"="\"C:\\Programme\\Gemeinsame Dateien\\Logitech\\khalshared\\KHALMNPR.EXE\""
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe -CheckReg"
"Pinnacle WebUpdater"="\"C:\\Programme\\Pinnacle\\Shared Files\\Programs\\WebUpdater\\WebUpdater.exe\" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles"
"PMCRemote"="C:\\Programme\\Pinnacle\\Shared Files\\Programs\\Remote\\Remoterm.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSaveSettings"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-25 14:14:31

die datein die er nicht finden konnten waren aber drauf, wurden vor dem programm schon gelöscht

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cbpdanug

*******************

Script file located at: \??\C:\WINDOWS\system32\eaqovgjo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\BandObject.log deleted successfully.

File C:\WINDOWS\b.exe not found!
Deletion of file C:\WINDOWS\b.exe failed!

Could not process line:
C:\WINDOWS\b.exe
Status: 0xc0000034

File C:\WINDOWS\system32\wnstssv.exe deleted successfully.
File C:\WINDOWS\system32\vbzip10.dll deleted successfully.

File C:\WINDOWS\system32\unsvchosts.exe not found!
Deletion of file C:\WINDOWS\system32\unsvchosts.exe failed!

Could not process line:
C:\WINDOWS\system32\unsvchosts.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

beim sophos-log habe ich fragen an dich; wie du siehst sind hier ein paar keygens und patches gelöscht worden, die aber ihren zweck gut erfüllen :-) ist es wirklich NÖTIG gewesen diese zu löschen? dann finde ich es seltsam, dass die jv16PT.exe als solches erkannt und gelöscht wurde, diese ist keine gepatchte version sondern wurde ganz normal aus der installationsroutine entpackt. ich persönlich finde die software sehr leistungsstark. auch werden keine backups erstellt, sehe ich das so richtig?

Zitat

Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 232367 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 14:38:55, System date 25 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Full Scanning

>>> Virus 'Mal/Packer' found in file C:\Games\GTA - San Andreas\trainer.exe
Removal successful
Could not open C:\hiberfil.sys
>>> Virus 'Mal/HckPk-A' found in file C:\Programme\jv16 PowerTools 2006\jv16PT.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Programme\jv16 PowerTools 2006\PATCH.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Tools\Install\ISOBuster v2.0\IsoBuster\patch.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Tools\Install\jv16 PowerTools 2006 v1.5.2.350\jv16 PowerTools 2006 1.5.2.350\PATCH.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Tools\Install\WinACE v2.65\KeyGen.exe
Removal successful
Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed)
>>> Virus fragment 'W95/Sledge-A' found in file C:\WINDOWS\system32\ActiveScan\pskavs.dll
Removal successful
Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\drivers\rmcast.sys (virus scan failed)
Could not open C:\WINDOWS\system32\drivers\sptd.sys

1 boot sector swept.
21889 files swept in 28 minutes and 42 seconds.
5 errors were encountered.
7 viruses were discovered.
7 files out of 21889 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.

zum schluss noch mal die anmerkung, dass das BandObject.log script immer noch aktiv ist nach wie vor.

VIELENN VIELEN DANK noch einmal, riesen lob an die seite an dich und an den rest des teams. was ihr macht ist für meine wenigkeit schon echte schulungsarbeit ! ! !
__________
AMD Phenom II X3 720 BE (Noctua NH-U12P) - GigaByte GA-MA790FXT-UD5P - 2GB Corsair DDR3 1333Mhz - 250GB SATAII 16MB - EVGA 9800GTX+ SSC - Audigy2 ZS - Enermax MODU82+ 625W

25.03.2007, 17:52

Sabina

Ehrenmitglied

Beiträge: 29434

#4 K4MF5T4RN

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\BandObject*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint

------

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

BandObject

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

25.03.2007, 20:08

K4MF5T4RN

Member

Themenstarter

Beiträge: 38

#5 ok fein, hier die reports :

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC82-E44A

Verzeichnis von c:\

25.03.2007 16:58 155 BandObject.log
1 Datei(en) 155 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 155 Bytes
0 Verzeichnis(se), 85.305.913.344 Bytes frei

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 25.03.2007 20:03:53 for strings:
; 'bandobject'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BandObjectLib.BandObject]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BandObjectLib.BandObject]
@="BandObjectLib.BandObject"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BandObjectLib.BandObject\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BandObjectLib.BandObjectAttribute]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BandObjectLib.BandObjectAttribute]
@="BandObjectLib.BandObjectAttribute"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BandObjectLib.BandObjectAttribute\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}]
@="BandObjectLib.BandObjectAttribute"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\InprocServer32]
"Class"="BandObjectLib.BandObjectAttribute"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\InprocServer32\1.0.0.0]
"Class"="BandObjectLib.BandObjectAttribute"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\ProgId]
@="BandObjectLib.BandObjectAttribute"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}]
@="BandObject"
"MenuText"="BandObject"
"HelpText"="BandObject"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\InprocServer32]
"Class"="BandObjectLib.BandObject"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\InprocServer32\1.0.0.0]
"Class"="BandObjectLib.BandObject"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\ProgId]
@="BandObjectLib.BandObject"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Record\{15E5E022-0851-3AC1-949B-9728D9D2252F}\1.0.0.0]
"Class"="BandObjectLib.DBIM"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Record\{6453CDB9-2E91-350D-B8FE-D90A04EB16AD}\1.0.0.0]
"Class"="BandObjectLib.DBIMF"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Record\{7F8C9717-128D-3D6B-B14D-F2BAE0C4D087}\1.0.0.0]
"Class"="BandObjectLib.BandObjectStyle"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Record\{8D292317-27EA-3B1A-A150-5F589DCBCFFA}\1.0.0.0]
"Class"="BandObjectLib.DESKBANDINFO"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Record\{A6990C99-43CB-3D01-8793-DB654B39DB9C}\1.0.0.0]
"Class"="BandObjectLib.HRESULT"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Record\{BA845E1C-FFF4-3CA8-8F75-F3B2E3EEA7B5}\1.0.0.0]
"Class"="BandObjectLib.POINT"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Record\{EC5C6531-553D-323F-A88A-6CA0E1108E5B}\1.0.0.0]
"Class"="BandObjectLib.MSG"

; End Of The Log...

__________
AMD Phenom II X3 720 BE (Noctua NH-U12P) - GigaByte GA-MA790FXT-UD5P - 2GB Corsair DDR3 1333Mhz - 250GB SATAII 16MB - EVGA 9800GTX+ SSC - Audigy2 ZS - Enermax MODU82+ 625W

25.03.2007, 22:16

Sabina

Ehrenmitglied

Beiträge: 29434

#6 avenger

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\policies\system|DisableTaskMgr

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}

Files to delete:
c:\BandObject.log

»»
loesche noch nicht dieses backup vom avenger.........
__________
MfG Sabina

rund um die PC-Sicherheit

26.03.2007, 01:49

K4MF5T4RN

Member

Themenstarter

Beiträge: 38

#7 ok fein, erstmal die log von avenger

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qfdanhgo

*******************

Script file located at: \??\C:\uulcvtoi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\BandObject.log deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\policies\system|DisableTaskMgr deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

neustart => das script ist immernoch aktiv, ich komm auch nicht selbst drauf :-(

omg so ein scheiss, verzeihung an dieser stelle für meine ausdrucksweise aber ich bin ein noobi :-(

ich habe an dem rechner einen dvb-t usb stick von pinnacle zum fernsehen am laufen, und diesen als symbolleiste in der taskbar aktiviert. ich habe das häkchen weggesetzt und nach neustart jetzt auch nicht mehr die BandObjekt.log...ich denke, dass ist des rätsels lösung :-( ich bin jedenfalls sicher nachdem ich mir den registrierungsschlüssel im backup des avenger angeschaut habe :

Zitat

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}]
@="BandObjectLib.BandObjectAttribute"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\Implemented Categories\{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\InprocServer32]
@="mscoree.dll"
"ThreadingModel"="Both"
"Class"="BandObjectLib.BandObjectAttribute"
"Assembly"="PMC.Taskbar, Version=1.0.0.0, Culture=neutral, PublicKeyToken=4b827ebe229d539f"
"RuntimeVersion"="v1.1.4322"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\InprocServer32\1.0.0.0]
"Class"="BandObjectLib.BandObjectAttribute"
"Assembly"="PMC.Taskbar, Version=1.0.0.0, Culture=neutral, PublicKeyToken=4b827ebe229d539f"
"RuntimeVersion"="v1.1.4322"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{556ECC89-EA5A-3ECE-8A40-27F25856FB9C}\ProgId]
@="BandObjectLib.BandObjectAttribute"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}]
@="BandObject"
"MenuText"="BandObject"
"HelpText"="BandObject"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\Implemented Categories\{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\InprocServer32]
@="mscoree.dll"
"ThreadingModel"="Both"
"Class"="BandObjectLib.BandObject"
"Assembly"="PMC.Taskbar, Version=1.0.0.0, Culture=neutral, PublicKeyToken=4b827ebe229d539f"
"RuntimeVersion"="v1.1.4322"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\InprocServer32\1.0.0.0]
"Class"="BandObjectLib.BandObject"
"Assembly"="PMC.Taskbar, Version=1.0.0.0, Culture=neutral, PublicKeyToken=4b827ebe229d539f"
"RuntimeVersion"="v1.1.4322"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB67D853-CD46-3118-B811-8041C441BFC7}\ProgId]
@="BandObjectLib.BandObject"

deine meinung sabina?

ich weiss du hast hier sehr viel zu tun es kostet dich bestimmt ohnehin schon alles viel zu viel von deiner zeit, aber auch für die zukunft wäre es für mich interessant, wenn du mir das hier bitte beantworten könntest wie ich in zukunft hiermit umgehen soll :

Zitat

beim sophos-log habe ich fragen an dich; wie du siehst sind hier ein paar keygens und patches gelöscht worden, die aber ihren zweck gut erfüllen :-) ist es wirklich NÖTIG gewesen diese zu löschen? dann finde ich es seltsam, dass die jv16PT.exe als solches erkannt und gelöscht wurde, diese ist keine gepatchte version sondern wurde ganz normal aus der installationsroutine entpackt. ich persönlich finde die software sehr leistungsstark. auch werden keine backups erstellt, sehe ich das so richtig?

Zitat:
Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 232367 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 14:38:55, System date 25 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Full Scanning

>>> Virus 'Mal/Packer' found in file C:\Games\GTA - San Andreas\trainer.exe
Removal successful
Could not open C:\hiberfil.sys
>>> Virus 'Mal/HckPk-A' found in file C:\Programme\jv16 PowerTools 2006\jv16PT.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Programme\jv16 PowerTools 2006\PATCH.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Tools\Install\ISOBuster v2.0\IsoBuster\patch.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Tools\Install\jv16 PowerTools 2006 v1.5.2.350\jv16 PowerTools 2006 1.5.2.350\PATCH.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\Tools\Install\WinACE v2.65\KeyGen.exe
Removal successful
Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed)
>>> Virus fragment 'W95/Sledge-A' found in file C:\WINDOWS\system32\ActiveScan\pskavs.dll
Removal successful
Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\drivers\rmcast.sys (virus scan failed)
Could not open C:\WINDOWS\system32\drivers\sptd.sys

1 boot sector swept.
21889 files swept in 28 minutes and 42 seconds.
5 errors were encountered.
7 viruses were discovered.
7 files out of 21889 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.

__________
AMD Phenom II X3 720 BE (Noctua NH-U12P) - GigaByte GA-MA790FXT-UD5P - 2GB Corsair DDR3 1333Mhz - 250GB SATAII 16MB - EVGA 9800GTX+ SSC - Audigy2 ZS - Enermax MODU82+ 625W

Dieser Beitrag wurde am 26.03.2007 um 02:23 Uhr von K4MF5T4RN editiert.

26.03.2007, 11:26

Sabina

Ehrenmitglied

Beiträge: 29434

#8 K4MF5T4RN

dein rechner ist kompromitiert, kann man in der registry sehen (von combofix ausgegeben)

wahrscheinlicher Grund: Virus 'Mal/Packer' found in file C:\Tools\Install\WinACE v2.65\KeyGen.exe

+
Viren:
22.03.2007 00:24 155.648 b.exe
09.02.2007 23:27 2 wnstssv.exe
09.02.2007 21:12 2.560 unsvchosts.exe - Infiziert: Trojan.Downloader.Agent.BCA
09.02.2007 19:16 147.456 vbzip10.dll

was C:\Tools\Install\jv16 PowerTools 2006 betrifft : da habe ich auch dumm geguckt

-----------------------

scanne mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

26.03.2007, 16:14

K4MF5T4RN

Member

Themenstarter

Beiträge: 38

#9 gruess dich sabina,

ich dachte eigentlich immer ich wäre schon ein versierter user, und muss sagen, dass ich mich sehr gerne hab eines besseren belehren lassen !
hier der report von kasparsky :

Zitat

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 26. März 2007 16:12:04
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 26/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 269716
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: nein

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 81568
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:34:30

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007032620070327\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Unregistered\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-03-26.14-32-13.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Tasks\SCHEDLGU.TXT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

was nun :-) ?
__________
AMD Phenom II X3 720 BE (Noctua NH-U12P) - GigaByte GA-MA790FXT-UD5P - 2GB Corsair DDR3 1333Mhz - 250GB SATAII 16MB - EVGA 9800GTX+ SSC - Audigy2 ZS - Enermax MODU82+ 625W

26.03.2007, 17:51

Sabina

Ehrenmitglied

Beiträge: 29434

#10 Compi geheilt

ich denke, dass ich mit dem avengerscript + sophos alles erwischt habe.
wenn es noch probs gibt - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

26.03.2007, 18:06

K4MF5T4RN

Member

Themenstarter

Beiträge: 38

#11 boor, danke für alles liebe sabina, wär ich nicht ein sehr armer student....
bitte mach weiter so...ich werde dich weiter empfehlen

hochachtungsvoll meinen respekt...

bis zum nächsten mal bay...
__________
AMD Phenom II X3 720 BE (Noctua NH-U12P) - GigaByte GA-MA790FXT-UD5P - 2GB Corsair DDR3 1333Mhz - 250GB SATAII 16MB - EVGA 9800GTX+ SSC - Audigy2 ZS - Enermax MODU82+ 625W

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1