Home » Viren, Trojaner & Malware Forum » CID-Popups mit MSN eingefangen! Nicht mehr wegzukriegen... » Themenansicht
CID-Popups mit MSN eingefangen! Nicht mehr wegzukriegen... |
||
|---|---|---|
| #0
| ||
|
04.10.2007, 15:38
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
04.10.2007, 16:14
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
04.10.2007, 16:25
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Ihr lieben. Danke für Eure Antworten!
Jetzt erstmal zu Arnold: Entferne auf C: \Qoobox--->Papierkorb leeren ----> habe ich erledigt! Deljob: -------------------------------------------------------- Backups created in C:\deljob AF9995B7979A0837.job -------------------------------------------------------- Files in Windows Tasks folder AppleSoftwareUpdate.job -------------------------------------------------------- Export App Data folders Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC0C-C53B Verzeichnis von C:\Dokumente und Einstellungen\Sven\Anwendungsdaten 04.10.2007 14:06 <DIR> . 04.10.2007 14:06 <DIR> .. 27.02.2007 22:18 <DIR> Adobe 15.01.2007 11:26 <DIR> AdobeUM 24.09.2007 09:56 <DIR> Ahead 05.11.2006 16:33 <DIR> APPLEC~1 Apple Computer 04.07.2007 12:36 <DIR> ArcSoft 01.06.2007 22:28 <DIR> Canon 14.01.2007 22:00 <DIR> FRITZ! 03.08.2007 19:44 <DIR> MACROM~1 Macromedia 04.10.2007 14:04 <DIR> MICROS~1 Microsoft 24.09.2007 09:24 <DIR> Nero 04.10.2007 13:52 <DIR> NewSoft 22.11.2006 12:32 <DIR> Sun 15.01.2007 11:34 <DIR> Teledat 0 Datei(en) 0 Bytes 15 Verzeichnis(se), 5.366.353.920 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC0C-C53B Verzeichnis von C:\Dokumente und Einstellungen\All Users Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC0C-C53B Verzeichnis von C:\WINDOWS hä? hier waren doch zwei Antworten...*amkopfkratzt* irgendwie ist jetzt eine weg..... Dieser Beitrag wurde am 04.10.2007 um 16:29 Uhr von Mrs.Sveninide editiert.
|
|
|
|
|
|
|
04.10.2007, 16:40
Ehrenmitglied
Beiträge: 6028 |
#4
Download GV-Killer zum Desktop
Doppelklick GV-Killer und Editor wird sich oeffnen Wenn schon ein text da steht entferne es und kopiere dass unterstehende wieder rein: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Option Camp Pure Team C:\DOKUME~1\Sven\ANWEND~1\ATOMFA~1\surf deaf.exe C:\deljob C:\Programme\Option Camp Pure Team Schliesse den Editor und Speichere die Daten Klicke " Kill on reboot " und lass dein Rechner neu starten GV_Killer.exe wird jetzt neu starten und gebe die Erlaubnis die Ordner zu entfernen Wenn es gelungen ist GV_Killer abschliessen Poste danach wieder ein log von Hijack This __________ MfG Argus |
|
|
|
|
|
|
04.10.2007, 17:06
...neu hier
Themenstarter Beiträge: 7 |
#5
So, habe den GV-Killer ausgeführt. Allerdings stand da nix mit Ordnern entfernen. Er hat mir danach nur dieses Textfenster geöffnet, und dann stand exit da, mehr nicht:
Logfile van GV_Killer v6.1.1 - Copyright © GV_Soft Guido Vaesen Rapport datum: 04.10.2007 17:00:58 log van Sven , Beheerder van deze computer Platform: Windows XP Prof SP2 DEU Normale modus BEGIN Geplande taken----------------------------------------------------------------- C:\WINDOWS\tasks\AppleSoftwareUpdate.job EINDE Geplande taken----------------------------------------------------------------- BEGIN Inhoud van Input.txt----------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Option Camp Pure Team C:\DOKUME~1\Sven\ANWEND~1\ATOMFA~1\surf deaf.exe C:\deljob C:\Programme\Option Camp Pure Team EINDE Inhoud van Input.txt----------------------------------------------------------- Verklaring Errorcodes---------------------------------------------------------------- code 00 : Bestand is verwijderd. code 53 : Bestand werd niet gevonden op uw PC. code 70 : Bestand was in gebruik. code 75 : Services zijn nog geladen of bestand in gebruik. code M0 : Map is verwijderd. code ML : Map is volledig leeg gemaakt. code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt. code MV : Map werd niet gevonden op uw PC, is niet verwijderd. Einde Errorcodes-------------------------------------------------------------------- 53 C:\DOKUME~1\Sven\ANWEND~1\ATOMFA~1\surf deaf.exe ;5855375-OEM-0015332-50873=3HS7JGKM00 ;EINDE GV_Killer --------------------------------------------------------------------- Hier der neue log von Hijack This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:03:10, on 04.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\Lexmark 1200 Series\lxczbmgr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Lexmark 1200 Series\lxczbmon.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" O4 - HKLM\..\Run: [Pure Team Open Exit] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Option Camp Pure Team\platform help.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [bias tick] C:\DOKUME~1\Sven\ANWEND~1\ATOMFA~1\surf deaf.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Scanner Utilitiy.lnk = C:\WINDOWS\twain_32\Schneide\AV626\SCANER32.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162724286248 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163850436640 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{36577DCD-CD29-4AB3-9584-8D6C9400D037}: NameServer = 192.168.0.1 O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6733 bytes |
|
|
|
|
|
|
04.10.2007, 17:10
Ehrenmitglied
Beiträge: 6028 |
#6
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O4 - HKLM\..\Run: [Pure Team Open Exit] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Option Camp Pure Team\platform help.exe O4 - HKCU\..\Run: [bias tick] C:\DOKUME~1\Sven\ANWEND~1\ATOMFA~1\surf deaf.exe klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst __________ MfG Argus |
|
|
|
|
|
|
04.10.2007, 17:19
...neu hier
Themenstarter Beiträge: 7 |
#7
Habe ich erledigt ... und nu?
|
|
|
|
|
|
|
04.10.2007, 17:22
Ehrenmitglied
Beiträge: 6028 |
||
|
|
|
|
|
04.10.2007, 17:24
...neu hier
Themenstarter Beiträge: 7 |
#9
hihi... nö alles wech und läuft auch wieder viel schneller.... mensch, das ging ja klasse und einfacher als ich dachte. Ich danke Dir ganz dolle. Kannst du anhand der obigen Dateien noch andern Müll entdecken, welcher entfernt werden müßte oder kann ich jetzt von einem "sauberen" Rechner ausgehen????
Soll ich jetzt die ganzen installierten Sachen, welche wir gebraucht haben drauf lassen oder wieder entfernen??? MSN sollte glaube ich nicht wieder drauf, oder? *grins* |
|
|
|
|
|
|
04.10.2007, 17:30
Ehrenmitglied
Beiträge: 6028 |
#10
Hijack This und ATF cleaner kannst du behalten der Rest kan entfernt werden
MSN kann man ruhig wieder installieren nur man muss darauf achten das das haechken bei Sponsor entfernt wird  __________ MfG Argus |
|
|
|
|
|
|
04.10.2007, 17:31
...neu hier
Themenstarter Beiträge: 7 |
#11
entchuldige, wenn ich nochmal so doof nachfrage. Ich habe ja nun Antivir auf dem Rechner. Bietet dieser allein ausreichend Schutz für Spyware, Trojaner und sowas oder würdest Du mir noch anderes empfehlen? Sollte die Windows Firewall ebenfalls aktiv sein oder nicht?
|
|
|
|
|
|
|
04.10.2007, 17:37
Ehrenmitglied
Beiträge: 6028 |
#12
Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm Stelle Antivir so ein wie hier angegeben http://board.protecus.de/t23979.htm Fuer Firewalls gibt es http://board.protecus.de/f2.htm __________ MfG Argus |
|
|
|
|
|
|
04.10.2007, 17:44
...neu hier
Themenstarter Beiträge: 7 |
#13
noch einmal tausend Dank an Dich!!!! Schön, das es Euch gibt....
Bis zum nächsten Problem... (hoffentlich nicht so schnell) ;-) Danke! |
|
|
|
|
|
|
04.10.2007, 17:51
Ehrenmitglied
Beiträge: 6028 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe mich nun lange in Eurem Forum belesen und habe festgestellt, das hier schon vielen mit dem gleichen Problem geholfen werden konnte.
Für mich ist das absolutes Neuland, ich habe aber schon einmal Eure Liste zum Abarbeiten VOR dem Posten beherzigt und mich daran versucht:
1. ATF-cleaner habe ich ausgeführt!
2. Combofix: Das kam heraus:
ComboFix 07-10-04.6 - Sven 2007-10-04 15:00:12.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.539 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sven\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_IPRIP
-------\Iprip
-------\nm
((((((((((((((((((((((( Dateien erstellt von 2007-09-04 bis 2007-10-04 ))))))))))))))))))))))))))))))
.
2007-10-04 14:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-04 14:40 <DIR> d-------- C:\Programme\Trend Micro
2007-10-04 12:50 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-04 12:50 <DIR> d-------- C:\Programme\Avira
2007-10-04 12:45 164 --a--c--- C:\install.dat
2007-10-04 10:06 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-03 12:09 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Option Camp Pure Team
2007-09-24 09:24 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Nero
2007-09-23 22:30 <DIR> d--h----- C:\WINDOWS\PIF
2007-09-11 14:08 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\eBay
2007-09-09 15:58 <DIR> d----c--- C:\temp
2007-09-09 15:00 <DIR> d-------- C:\Programme\Lexmark 1200 Series
2007-09-09 14:58 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-09-09 14:58 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-09-05 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Contacts
2007-09-05 08:29 80,880 --a------ C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-04 13:52 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-10-04 13:52 --------- d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\NewSoft
2007-09-24 09:56 --------- d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ahead
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-07-12 07:19]
"nwiz"="nwiz.exe" [2006-07-12 07:19 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-07-12 07:19]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 10:48 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-12-20 10:42]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 15:04]
"Lexmark 1200 Series"="C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 07:26]
"Pure Team Open Exit"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Option Camp Pure Team\platform help.exe" [2007-10-04 15:13]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" []
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" []
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 18:19]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-05-20 14:50]
"bias tick"="C:\DOKUME~1\Sven\ANWEND~1\ATOMFA~1\surf deaf.exe" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys
R3 AVMCOWAN;ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys
R3 AVMDSLPPPOE;DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys
R3 AVMNDSL;DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys
S3 FDSUBASE;Teledat X130 DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdsubase.sys
S3 NETOEDSL;PPP over DSL;C:\WINDOWS\system32\DRIVERS\NETOEDSL.SYS
S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f8c16f8-a71f-1cfa-abd6-806d6172696f}]
AutoRun\command- E:\Setupx.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-10-04 13:00:00 C:\WINDOWS\Tasks\AF9995B7979A0837.job"
"2007-09-22 20:45:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-04 15:11:45
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-04 15:13:48 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-04 15:13
.
--- E O F ---
3. Hijackthis-Logfiles:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:49, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cidaemon.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [Pure Team Open Exit] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Option Camp Pure Team\platform help.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [bias tick] C:\DOKUME~1\Sven\ANWEND~1\ATOMFA~1\surf deaf.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Scanner Utilitiy.lnk = C:\WINDOWS\twain_32\Schneide\AV626\SCANER32.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162724286248
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163850436640
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36577DCD-CD29-4AB3-9584-8D6C9400D037}: NameServer = 192.168.0.1
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 7072 bytes
4. Logfiles mit datfind.bat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC0C-C53B
Verzeichnis von C:\WINDOWS\system32
04.10.2007 15:13 13.002 wpa.dbl
04.10.2007 15:11 1.808 ModemLog_ISDN Custom Config.txt
04.10.2007 15:11 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt
04.10.2007 15:11 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt
04.10.2007 15:11 73.451 nvapps.xml
06.09.2007 04:50 17.474.680 MRT.exe
31.08.2007 00:12 249.852 TZLog.log
04.08.2007 08:50 288.496 FNTCACHE.DAT
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:19 271.224 mucltui.dll
30.07.2007 19:19 207.736 muweb.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 30.072 mucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 844.800 swreg.exe
19.07.2007 08:56 3.583.488 mshtml.dll
18.07.2007 14:42 60.416 tzchange.exe
2213 Datei(en) 489.746.109 Bytes
0 Verzeichnis(se), 5.300.350.976 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC0C-C53B
Verzeichnis von C:\DOKUME~1\Sven\LOKALE~1\Temp
04.10.2007 15:16 40.960 rtdrvmon.exe
1 Datei(en) 40.960 Bytes
0 Verzeichnis(se), 5.300.133.888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC0C-C53B
Verzeichnis von C:\WINDOWS
04.10.2007 15:12 0 0.log
04.10.2007 15:11 159 wiadebug.log
04.10.2007 15:11 2.080.769 WindowsUpdate.log
04.10.2007 15:11 50 wiaservc.log
04.10.2007 15:11 2.048 bootstat.dat
04.10.2007 15:08 32.616 SchedLgU.Txt
04.10.2007 14:53 432 lexstat.ini
04.10.2007 14:35 653 win.ini
04.10.2007 14:30 227 system.ini
04.10.2007 14:01 229 NeroDigital.ini
04.10.2007 13:52 256 setup.iss
04.10.2007 10:06 449.172 setupapi.log
03.10.2007 11:00 170.907 setupact.log
29.09.2007 14:54 48.574 wmsetup.log
28.09.2007 09:06 135.168 catchme.exe
26.09.2007 20:31 92 dellstat.ini
05.09.2007 16:21 11.746 DPINST.LOG
31.08.2007 00:12 50.735 ocmsn.log
31.08.2007 00:12 38.070 tabletoc.log
31.08.2007 00:12 437.656 tsoc.log
31.08.2007 00:12 1.252.001 iis6.log
31.08.2007 00:12 1.374 imsins.log
31.08.2007 00:12 314.664 comsetup.log
31.08.2007 00:12 197.128 ntdtcsetup.log
31.08.2007 00:12 21.775 KB933360.log
31.08.2007 00:12 500.293 ocgen.log
31.08.2007 00:12 59.041 medctroc.Log
31.08.2007 00:12 139.687 netfxocm.log
31.08.2007 00:12 47.237 msgsocm.log
31.08.2007 00:12 916.401 FaxSetup.log
31.08.2007 00:12 328.812 msmqinst.log
26.08.2007 15:11 37.895 spupdsvc.log
26.08.2007 15:04 1.374 imsins.BAK
26.08.2007 15:04 20.463 KB936021.log
26.08.2007 15:04 58.454 updspapi.log
26.08.2007 15:03 19.975 KB938828.log
26.08.2007 15:03 19.341 KB921503.log
26.08.2007 15:03 19.143 KB938829.log
26.08.2007 15:02 24.352 KB937143-IE7.log
26.08.2007 15:01 13.679 KB938127-IE7.log
26.08.2007 15:01 284.980 msxml4-KB936181-enu.LOG
26.08.2007 15:01 6.601 KB936782.log
278 Datei(en) 59.747.241 Bytes
0 Verzeichnis(se), 5.300.068.352 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC0C-C53B
Verzeichnis von C:\WINDOWS\Temp
04.10.2007 15:11 16.384 Perflib_Perfdata_4c4.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 5.300.125.696 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC0C-C53B
Verzeichnis von C:\
04.10.2007 15:23 0 sys.txt
04.10.2007 15:23 855 down.txt
04.10.2007 15:23 289 tmp.txt
04.10.2007 15:22 14.145 system.txt
04.10.2007 15:22 292 systemtemp.txt
04.10.2007 15:19 108.201 system32.txt
04.10.2007 15:13 6.089 ComboFix.txt
04.10.2007 15:13 652 ComboFix-quarantined-files.txt
04.10.2007 15:10 1.508.745.216 pagefile.sys
04.10.2007 14:30 236 boot.ini
04.10.2007 12:45 164 install.dat
05.11.2006 13:57 47.564 NTDETECT.COM
05.11.2006 13:57 251.184 ntldr
05.11.2006 11:26 0 MSDOS.SYS
05.11.2006 11:26 0 CONFIG.SYS
05.11.2006 11:26 0 AUTOEXEC.BAT
05.11.2006 11:26 0 IO.SYS
18.08.2001 14:00 4.952 bootfont.bin
18 Datei(en) 1.509.179.839 Bytes
0 Verzeichnis(se), 5.300.056.064 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC0C-C53B
Verzeichnis von C:\WINDOWS\Downloaded Program Files
10.09.2007 10:47 575 kavwebscan.inf
11.06.2007 12:21 5.021 swflash.inf
05.11.2006 11:25 65 desktop.ini
12.10.2006 05:07 896 jinstall-1_5_0_09.inf
25.06.2006 13:50 1.793 erma.inf
15.06.2006 19:33 1.132.192 EPUWALcontrol.dll
09.05.2006 17:51 539 EPUWALcontrol.inf
26.05.2005 05:19 291 wuweb.inf
26.05.2005 05:19 293 muweb.inf
16.02.2005 16:15 401.408 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
12 Datei(en) 1.764.257 Bytes
0 Verzeichnis(se), 5.300.060.160 Bytes frei
So, ich kann damit nichts anfangen, aber Ihr könnt mir sicher weiter helfen. Ich muß Euch auch darum bitten, mir das wirklich idiotensicher zu erklären. ;-) Bin zum 1. eine Frau und zum 2. hab ich mich noch nie damit auseinander setzen müssen.
Habe mir wie gesagt die CID-Popups höwahrscheinlich mit dem MSN-Messenger eingefangen! Zu findende CID-Einträge in der Systemsteuerung sind alle deinstalliert bzw. gelöscht. Messenger ist deinstalliert....
Ich hoffe, ich habe soweit alles richtig gemacht und freue mich auf Eure schnelle Hilfe.
Ganz liebe Grüße