Virus DR/Agent.YR

#0
18.01.2008, 13:55
...neu hier

Themenstarter

Beiträge: 8
#16 hier is erstmal noch das von counterSpy


Scan History Details
Start Date: 18.01.2008 11:30:25
End Date: 18.01.2008 12:26:03
Total Time: 55 Min 38 Sec
Detected security risks

MyWebSearch Toolbar Potentially Unwanted Program more information...
Details: MyWebSearch Toolbar is a customizable Internet Explorer search toolbar with various other tools.
Status: Deleted

Files detected
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3BKGERR.JPG.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3SHLLVW.DLL.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.JAR.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3IMPIPE.EXE.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.JAR.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3SKPLAY.EXE.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3SLSRCH.EXE.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3SRCHMN.EXE.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\Cache\00112344.bin.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\Cache\00112865.bin.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\Cache\00112C6C.bin.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\Game\CHECKERS.F3S.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\Game\CHESS.F3S.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\Game\REVERSI.F3S.vir

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{8D292EC0-6792-4A38-82ED-73A087E41BA6}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{56256A51-B582-467E-B8D4-7786EDA79AE0}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{56256A51-B582-467E-B8D4-7786EDA79AE0}
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{56256A51-B582-467E-B8D4-7786EDA79AE0}
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{56256A51-B582-467E-B8D4-7786EDA79AE0}


FunWebProducts Potentially Unwanted Program more information...
Details: Fun Web Products bundles adware software in its products.
Status: Deleted

Files detected
C:\QooBox\Quarantine\C\Programme\Internet Explorer\msimg32.dll.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3BROVLY.DLL.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3CJPEG.DLL.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3IMSTUB.DLL.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL.vir
C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3SPACER.WMV.vir

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0\0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{98635087-3F5D-418F-990C-B1EFE0797A3B}\1.0\HELPDIR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\FUN WEB PRODUCTS
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\FUN WEB PRODUCTS\CursorLoader
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\FUN WEB PRODUCTS\CursorLoader


Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted

Registry entries detected
HKEY_USERS\.DEFAULT\SOFTWARE\WGET
HKEY_USERS\S-1-5-18\SOFTWARE\WGET
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\WGET


Need2FindBar Potentially Unwanted Program more information...
Details: Need2FindBar is a browser helper object (BHO) toolbar that has a search function.
Status: Deleted

Registry entries detected
HKEY_USERS\SEARCH


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\marie\cookies\marie@2o7[2].txt
c:\dokumente und einstellungen\marie\cookies\marie@ad.yieldmanager[2].txt
c:\dokumente und einstellungen\marie\cookies\marie@ad.yieldmanager[3].txt
c:\dokumente und einstellungen\marie\cookies\marie@adrevolver[2].txt
c:\dokumente und einstellungen\marie\cookies\marie@advertising[1].txt
c:\dokumente und einstellungen\marie\cookies\marie@atdmt[2].txt
c:\dokumente und einstellungen\marie\cookies\marie@doubleclick[1].txt
c:\dokumente und einstellungen\marie\cookies\marie@mediaplex[1].txt
c:\dokumente und einstellungen\marie\cookies\marie@questionmarket[2].txt
c:\dokumente und einstellungen\marie\cookies\marie@statse.webtrendslive[2].txt


Adware.IntelligentAdvisor Browser Plug-in more information...
Details: Adware.IntelligentAdvisor is an adware program that creates a BHO (browser helper object) on the user's machine and displays pop-up advertising on the desktop. Adware.IntelligentAdvisor reportedly has been stealth installed.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\APPID\INTELLIGENTADVISOR.DLL
HKEY_LOCAL_MACHINE\Software\Classes\APPID\INTELLIGENTADVISOR.DLL
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER.1
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER.1
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.BROWSERWATCHER\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO.1
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO.1
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PORNPRO_BHO\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST.1
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST.1
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\INTELLIGENTADVISOR.PRECACHEBROWSERHOST\CurVer
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR
HKEY_USERS\S-1-5-21-602162358-1343024091-725345543-1005\SOFTWARE\INTELLIGENTADVISOR




superantispyware log

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/18/2008 at 02:42 PM

Application Version : 3.9.1008

Core Rules Database Version : 3259
Trace Rules Database Version: 1270

Scan type : Quick Scan
Total Scan Time : 00:15:22

Memory items scanned : 473
Memory threats detected : 0
Registry items scanned : 735
Registry threats detected : 0
File items scanned : 9144
File threats detected : 22

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Marie\Cookies\marie@fastclick[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@media.adrevolver[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@adinterax[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@atwola[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@media.adrevolver[3].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@mediaplex[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@questionmarket[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@advertising[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@doubleclick[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@atdmt[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@adrevolver[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@2o7[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@int.sitestat[1].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@pacificpoker[3].txt
C:\Dokumente und Einstellungen\Marie\Cookies\marie@eas.apm.emediate[2].txt
Dieser Beitrag wurde am 18.01.2008 um 15:03 Uhr von malou editiert.
Seitenanfang Seitenende
31.01.2008, 22:58
Member

Beiträge: 81
#17 Hallo,
dieses Mistvieh DR/Agent.YR, macht mir ständig den Browser zu und macht ständig neue Fenster mit lästiger Werbung auf.
Wer kann mir helfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:02:06, on 31.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\SPOCKY\Eigene Dateien\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - (no file)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Removecpl] removecpl.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Curb tool help dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\memo meta.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098702224421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130693228109
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4953/mcfscan.cab
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Unknown owner - C:\Programme\0190 Warner\w0svc.exe (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10751 bytes
Seitenanfang Seitenende
31.01.2008, 23:19
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#18 Hallo dreamei

HijackTHis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - (no file)

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

O4 - HKLM\..\Run: [Curb tool help dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\memo meta.exe

««
wende bitte Combofix an
+ poste hier den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 15:27
Member

Beiträge: 81
#19 Hallo Pinguin,
danke für die schnelle Antwort!
Hijack This hab ich angewendet.
Nu versuche ich seit stunden Combofix runterzuladen. Sobald ich die Seite aufmache schließt sich der Browser. ich werd bald wahnsinnig.
Hast Du eine Lösung?
Nu konnt ich Combofix runterladen. Nur kommt immer die Fehlermeldung
Datei kmd.exe konnte nicht gefunden werdenWas mach ich falsch?
Bitte um weitere Hilfe!
Dieser Beitrag wurde am 01.02.2008 um 16:02 Uhr von dreamei editiert.
Seitenanfang Seitenende
01.02.2008, 16:15
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#20 ««
bekommst du Combofix trotz der Fehlermeldung zum laufen ???
falls nicht, poste das Log von Combscan
http://virus-protect.org/artikel/tools/comboscan.html

wenn der Scan beendet ist, öffnet sich : main.txt + extra.txt + hier posten, bitte

««

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 17:11
Member

Beiträge: 81
#21 So, das hat funktioniert.


Deckard's System Scanner v20071014.68
Run by SPOCKY on 2008-02-01 16:48:41
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
29: 2008-02-01 15:48:48 UTC - RP29 - Deckard's System Scanner Restore Point
28: 2008-01-30 21:34:13 UTC - RP28 - Software Distribution Service 3.0
27: 2008-01-28 11:31:44 UTC - RP27 - Installiert ElsterFormular 2006/2007
26: 2008-01-28 05:11:42 UTC - RP26 - Systemprüfpunkt
25: 2008-01-27 00:37:33 UTC - RP25 - Systemprüfpunkt


-- First Restore Point --
1: 2007-12-21 23:21:11 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 511 MiB (512 MiB recommended).[/color]
[color=red]System Drive C: has 0.83 GiB (less than 15%) free.[/color]


-- HijackThis (run as SPOCKY.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:17, on 01.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\SPOCKY\Desktop\dss.exe
C:\DOKUME~1\SPOCKY\EIGENE~1\HJT\SPOCKY.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Removecpl] removecpl.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098702224421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130693228109
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4953/mcfscan.cab
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Unknown owner - C:\Programme\0190 Warner\w0svc.exe (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10275 bytes

-- HijackThis Fixed Entries (C:\DOKUME~1\SPOCKY\EIGENE~1\HJT\backups\) ---------

backup-20080201-023437-166 R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
backup-20080201-023437-378 O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - (no file)
backup-20080201-023437-571 O4 - HKLM\..\Run: [Curb tool help dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\memo meta.exe
backup-20080201-023437-598 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
backup-20080201-023437-773 O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

-- File Associations -----------------------------------------------------------

[COLOR=red].bat - batfile - DefaultIcon - C:\WINDOWS\Icons\TheAllien\The Allien.icl,55[/COLOR]
[COLOR=red].cmd - cmdfile - DefaultIcon - C:\WINDOWS\Icons\TheAllien\The Allien.icl,56[/COLOR]
[COLOR=red].ini - inifile - DefaultIcon - C:\WINDOWS\Icons\TheAllien\The Allien.icl,52[/COLOR]
[COLOR=red].txt - txtfile - DefaultIcon - C:\WINDOWS\Icons\Windows-Black\Windows Black.icl,26[/COLOR]


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology (StarForce); SF FrontLine>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology (StarForce); SF FrontLine>
R0 sfsync04 (StarForce Protection Synchronization Driver (version 4.x)) - c:\windows\system32\drivers\sfsync04.sys <Not Verified; Protection Technology (StarForce); SF FrontLine>
R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys <Not Verified; Protection Technology; StarForce Protection System>
R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>

S3 NTSIM - c:\windows\system32\ntsim.sys <Not Verified; VIA Networking, Inc.; Network Device Monitor Utility>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; Scheduler>
R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 AVM IGD CTRL Service - c:\programme\fritz!dsl\igdctrl.exe <Not Verified; AVM Berlin; AVM IGD Service>
R2 LogWatch (Ereignisprotokoll-Überwachung) - c:\programme\ca\sharedcomponents\ca_lic\logwatnt.exe <Not Verified; Computer Associates; Computer Associates LogWatNT>

S2 0190_0900_Warner_MonitorService (0190/0900 Warner Überwachungsdienst) - c:\programme\0190 warner\w0svc.exe (file missing)
S3 CA_LIC_CLNT (CA-Lizenz-Client) - c:\programme\ca\sharedcomponents\ca_lic\lic98rmt.exe <Not Verified; Computer Associates; Computer Associates lic98rmt>
S3 CA_LIC_SRVR (CA-Lizenzserver) - c:\programme\ca\sharedcomponents\ca_lic\lic98rmtd.exe <Not Verified; Computer Associates; Computer Associates lic98rmtd>
S3 de_serv (AVM FRITZ!web Routing Service) - c:\programme\gemeinsame dateien\avm\de_serv.exe <Not Verified; AVM Berlin; AVM Rocky>
S3 NMIndexingService - "c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe" (file missing)
S3 WmcCdsLs (Windows Media Connect-Hilfsprogramm) - c:\programme\windows media connect\mswmcls.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
S3 x10nets (X10 Device Network Service) - c:\progra~1\common~1\x10\common\x10nets.exe <Not Verified; X10; x10 Module>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96C-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ROOT\MEDIA\0000
Manufacturer:
Name:
PNP Device ID: ROOT\MEDIA\0000
Service:


-- Scheduled Tasks -------------------------------------------------------------

2008-02-01 16:00:03 274 --ah----- C:\WINDOWS\Tasks\A86558F9918ACF89.job
2008-01-14 23:00:05 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2008-01-11 17:16:30 384 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job


-- Files created between 2008-01-01 and 2008-02-01 -----------------------------

2008-01-31 22:57:00 2847 --a------ C:\Start_.cmd
2008-01-31 22:56:59 0 d-------- C:\327882R2FWJFW
2008-01-31 11:33:16 0 dr-h----- C:\Dokumente und Einstellungen\SPOCKY\Recent
2008-01-28 12:31:45 0 d-------- C:\Programme\ElsterFormular
2008-01-24 01:22:40 0 d-------- C:\Programme\Sunflowers
2008-01-23 01:52:46 0 d-------- C:\Sandbox
2008-01-23 01:52:00 0 d-------- C:\Programme\Sandboxie
2008-01-23 01:05:05 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\DoctorWeb
2008-01-20 11:01:10 0 d-------- C:\WINDOWS\system32\ActiveScan
2008-01-16 23:13:27 0 d-------- C:\Programme\Drv Download
2008-01-08 02:18:44 80105 --a------ C:\WINDOWS\system32\dcads-remove.exe
2008-01-08 02:18:40 40731 --a------ C:\WINDOWS\system32\superiorads-uninst.exe


-- Find3M Report ---------------------------------------------------------------

2008-01-28 12:31:44 0 d--h----- C:\Programme\InstallShield Installation Information
2008-01-25 21:27:50 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Drv Download
2008-01-24 01:01:39 0 d-------- C:\Programme\Java
2008-01-23 03:05:53 0 d-------- C:\Programme\a-squared Free
2008-01-21 03:44:42 0 d-------- C:\Programme\WinExpert
2008-01-21 03:43:47 0 d-------- C:\Programme\Gemeinsame Dateien
2008-01-20 01:57:50 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\SecondLife
2008-01-20 01:54:59 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Mozilla
2008-01-20 01:52:07 13706 --a----c- C:\WINDOWS\mozver.dat
2008-01-15 03:12:51 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\phonostar-Player
2008-01-10 22:04:42 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\LimeWire
2007-12-24 14:09:47 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\InstallShield
2007-12-23 01:26:58 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-12-22 23:07:03 0 d-------- C:\Programme\Ahead
2007-12-22 00:12:39 2322432 --a------ C:\WINDOWS\system32\TUKernel.exe <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>
2007-12-21 23:11:47 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\TuneUp Software
2007-12-12 22:34:48 514194 --a----c- C:\WINDOWS\system32\perfh007.dat
2007-12-12 22:34:48 104298 --a----c- C:\WINDOWS\system32\perfc007.dat


-- Registry Dump ---------------------------------------------------------------


Die Eingabeaufforderung ist vom Administrator deaktiviert worden.

Drcken Sie eine beliebige Taste . . .


-- Hosts -----------------------------------------------------------------------

127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD


60 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-02-01 16:50:41 ------------

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Sempron(tm) Processor 3000+
Percentage of Memory in Use: 53%
Physical Memory (total/avail): 510.48 MiB / 236.95 MiB
Pagefile Memory (total/avail): 2016.23 MiB / 1730.17 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1938.39 MiB

C: is Fixed (NTFS) - 29.29 GiB total, 0.83 GiB free.
D: is Fixed (NTFS) - 17.58 GiB total, 16.47 GiB free.
E: is Fixed (FAT32) - 9 GiB total, 7.22 GiB free.
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - IC25N060ATMR04-0 - 55.89 GiB - 3 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 29.29 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 26.59 GiB - D: - E:



-- Security Center -------------------------------------------------------------

AUOptions is set to notify before download.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.

AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v 6.38.1.27
(Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition v 7.0.2.78
(Avira GmbH) [COLOR=RED]Disabled[/COLOR]
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 6.2"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen"
"C:\\Programme\\BearFlix\\bearflix.exe"="C:\\Programme\\BearFlix\\bearflix.exe:*:Enabled:BearFlix"
"C:\\Programme\\Freeciv-2.0.9-gtk2\\civserver.exe"="C:\\Programme\\Freeciv-2.0.9-gtk2\\civserver.exe:*:Enabled:civserver"
"C:\\Programme\\Freeciv-2.0.9-gtk2\\civclient.exe"="C:\\Programme\\Freeciv-2.0.9-gtk2\\civclient.exe:*:Enabled:civclient"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Soulseek-Test\\slsk.exe"="C:\\Programme\\Soulseek-Test\\slsk.exe:*:Enabled:SoulSeek"
"C:\\Dokumente und Einstellungen\\SPOCKY\\Desktop\\[ PC Games ] - Age of Empires II(FULL)(2)\\empires2.exe"="C:\\Dokumente und Einstellungen\\SPOCKY\\Desktop\\[ PC Games ] - Age of Empires II(FULL)(2)\\empires2.exe:*:Enabled:Age of Empires II"
"C:\\Dokumente und Einstellungen\\SPOCKY\\Desktop\\(pc games) Age Of Empires 2 The Conquerors Expansion.also full aoe2\\empires2.exe"="C:\\Dokumente und Einstellungen\\SPOCKY\\Desktop\\(pc games) Age Of Empires 2 The Conquerors Expansion.also full aoe2\\empires2.exe:*;)isabled:Age of Empires II"
"C:\\Dokumente und Einstellungen\\SPOCKY\\Desktop\\Microsoft - Age of Empires 3 (Full PC Game)\\Empire Earth.exe"="C:\\Dokumente und Einstellungen\\SPOCKY\\Desktop\\Microsoft - Age of Empires 3 (Full PC Game)\\Empire Earth.exe:*;)isabled:Empire Earth"
"C:\\Programme\\Sunflowers\\Anno 1701\\Anno1701.exe"="C:\\Programme\\Sunflowers\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"


-- Environment Variables -------------------------------------------------------


Die Eingabeaufforderung ist vom Administrator deaktiviert worden.

Drcken Sie eine beliebige Taste . . .


-- User Profiles ---------------------------------------------------------------

SPOCKY (admin)


-- Add/Remove Programs ---------------------------------------------------------


Die Eingabeaufforderung ist vom Administrator deaktiviert worden.

Drcken Sie eine beliebige Taste . . .


-- Application Event Log -------------------------------------------------------

Event Record #/Type2564 / Warning
Event Submitted/Written: 01/31/2008 09:06:48 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe
verdächtigen Code mit der Bezeichnung 'DR/Agent.YR'!

Event Record #/Type2563 / Warning
Event Submitted/Written: 01/31/2008 07:37:02 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\System Volume Information\_restore{338E25A6-88E5-4FD3-95E7-F66676A68C24}\RP20\A0018318.exe
verdächtigen Code mit der Bezeichnung 'TR/Dldr.Swizzor.Gen'!

Event Record #/Type2554 / Warning
Event Submitted/Written: 01/30/2008 09:00:34 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe
verdächtigen Code mit der Bezeichnung 'DR/Agent.YR'!

Event Record #/Type2545 / Warning
Event Submitted/Written: 01/28/2008 05:59:14 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\System Volume Information\_restore{338E25A6-88E5-4FD3-95E7-F66676A68C24}\RP20\A0018318.exe
verdächtigen Code mit der Bezeichnung 'TR/Dldr.Swizzor.Gen'!

Event Record #/Type2541 / Warning
Event Submitted/Written: 01/28/2008 11:06:35 AM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe
verdächtigen Code mit der Bezeichnung 'DR/Agent.YR'!



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type44901 / Error
Event Submitted/Written: 02/01/2008 04:50:23 PM
Event ID/Source: 7016 / Service Control Manager
Event Description:
Der Dienst "SmartLinkService" hat einen ungültigen aktuellen Status gemeldet: 0

Event Record #/Type44855 / Error
Event Submitted/Written: 02/01/2008 03:26:28 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "0190/0900 Warner Überwachungsdienst" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Event Record #/Type44828 / Error
Event Submitted/Written: 02/01/2008 02:37:22 AM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "0190/0900 Warner Überwachungsdienst" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Event Record #/Type44814 / Warning
Event Submitted/Written: 01/31/2008 08:30:19 PM
Event ID/Source: 1003 / Dhcp
Event Description:
Der Computer konnte die Netzwerkadresse, die durch den DHCP-Server für die
Netzwerkkarte mit der Netzwerkadresse 0011F51CF1B6 zugeteilt wurde, nicht erneuern. Der
folgende Fehler ist aufgetreten:
%%121.
Es wird weiterhin im Hintergrund versucht, eine Adresse vom
Netzwerkadressserver (DHCP) zu erhalten.

Event Record #/Type44769 / Error
Event Submitted/Written: 01/31/2008 11:10:34 AM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "0190/0900 Warner Überwachungsdienst" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2



-- End of Deckard's System Scanner: finished at 2008-02-01 16:50:41 ------------
Seitenanfang Seitenende
01.02.2008, 17:36
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#22 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt
««
Hoster.zip - HostsXpert
http://www.funkytoad.com/download/HostsXpert.zip

Press 'Restore Microstoft's Hosts File' and press 'OK'
Exit Program.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 17:48
Member

Beiträge: 81
#23 Bekomme die Administratorrechte nicht. Sind aus mir nicht bekannten Gründen deaktiviert. Wie kann ich diese aktivieren?
Kann das "Programm" also nicht ausführen, weil ich die "Rechte" nicht besitze.
Text in den Editor kopiert..... aber ausfüren mit doppelklick dann gespeert.
Dieser Beitrag wurde am 01.02.2008 um 17:58 Uhr von dreamei editiert.
Seitenanfang Seitenende
01.02.2008, 17:53
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#24 boote in den abgesicherten Modus - F8 drücken, wenn der Rechner hochfährt - wähle abgesicherter Modus + von dort aus, erstelle listen.bat, anwenden + speichere das Log ab, dann boote wieder in den normalmodus und poste das Log
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.02.2008, 00:23
Member

Beiträge: 81
#25 Hier das Log! Hoffe hab alles richtig gemacht?!


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Program Files

19.07.2007 00:38 <DIR> .
19.07.2007 00:38 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 900.878.336 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp

02.02.2008 00:25 <DIR> .
02.02.2008 00:25 <DIR> ..
01.02.2008 17:36 797.676 IMT100.xml
01.02.2008 17:32 2.036 IMTCB.xml
01.02.2008 17:32 426 IMTCC.xml
01.02.2008 17:32 797.676 IMTCD.xml
01.02.2008 17:33 2.794.308 IMTD8.xml
01.02.2008 17:33 1.022 IMTD9.dtd
01.02.2008 17:33 2.036 IMTDA.xml
01.02.2008 17:33 426 IMTDB.xml
01.02.2008 17:33 797.676 IMTDC.xml
01.02.2008 17:35 2.036 IMTEE.xml
01.02.2008 17:35 426 IMTEF.xml
01.02.2008 17:35 797.676 IMTF0.xml
01.02.2008 17:35 2.036 IMTF1.xml
01.02.2008 17:35 426 IMTF2.xml
01.02.2008 17:35 797.676 IMTF3.xml
01.02.2008 17:36 2.036 IMTFE.xml
01.02.2008 17:36 426 IMTFF.xml
02.02.2008 00:13 346 jusched.log
01.02.2008 19:04 910 LastScan.txt
02.02.2008 00:08 <DIR> WPDNSE
19 Datei(en) 6.797.276 Bytes
3 Verzeichnis(se), 900.874.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\WINDOWS\Temp

02.02.2008 00:09 <DIR> .
02.02.2008 00:09 <DIR> ..
01.02.2008 18:17 0 T30DebugLogFile.txt
02.02.2008 00:08 255 WGAErrLog.txt
02.02.2008 00:08 409 WGANotify.settings
3 Datei(en) 664 Bytes
2 Verzeichnis(se), 900.874.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Temp

03.07.2007 16:19 <DIR> .
03.07.2007 16:19 <DIR> ..
03.07.2007 16:19 150 debug.txt
07.03.2007 16:03 0 EnhancedDataOutput.txt
2 Datei(en) 150 Bytes
2 Verzeichnis(se), 900.874.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Programme

28.01.2008 12:31 <DIR> .
28.01.2008 12:31 <DIR> ..
23.01.2008 03:05 <DIR> a-squared Free
26.07.2007 19:49 <DIR> Adobe
22.12.2007 23:07 <DIR> Ahead
01.02.2008 18:22 <DIR> AntiVir PersonalEdition Classic
22.09.2007 19:47 <DIR> Apple Software Update
25.10.2004 10:56 <DIR> ATI Technologies
08.01.2005 18:36 <DIR> CA
17.01.2007 17:28 <DIR> Canon
13.10.2007 13:24 <DIR> CCleaner
01.11.2007 22:42 <DIR> CDBurnerXP
14.09.2006 20:18 <DIR> CDN YabeOffice
14.09.2006 20:18 <DIR> CDN YabeOffice Daten
26.07.2007 19:42 <DIR> Cisco Systems
25.10.2004 11:36 <DIR> Common Files
13.01.2005 21:58 <DIR> CSoft
25.10.2004 11:36 <DIR> CyberLink
14.09.2006 19:49 <DIR> DiMAGE Viewer
01.11.2007 22:24 <DIR> DivX
16.01.2008 23:13 <DIR> Drv Download
18.08.2006 07:52 <DIR> DTemp
28.01.2008 12:31 <DIR> ElsterFormular
30.03.2007 21:23 <DIR> FRITZ!Box
30.03.2007 21:24 <DIR> FRITZ!DSL
21.01.2008 03:43 <DIR> Gemeinsame Dateien
25.10.2004 10:59 <DIR> Generic
09.07.2007 12:34 <DIR> Google
25.10.2004 12:10 <DIR> HighMAT CD Writing Wizard
25.10.2004 11:37 <DIR> Home Cinema
20.01.2008 11:26 <DIR> Internet Explorer
19.11.2007 23:11 <DIR> iPod
19.11.2007 23:11 <DIR> iTunes
24.01.2008 01:01 <DIR> Java
01.11.2007 23:45 <DIR> Macrogaming
08.01.2005 20:13 <DIR> Messenger
25.10.2004 10:36 <DIR> microsoft frontpage
21.01.2005 23:46 <DIR> Microsoft Office
21.01.2005 23:46 <DIR> Microsoft Visual Studio
30.10.2005 18:40 <DIR> Microsoft Works
21.01.2005 23:45 <DIR> Microsoft.NET
25.10.2004 10:33 <DIR> Movie Maker
02.02.2008 00:22 <DIR> Mozilla Firefox
25.10.2004 10:32 <DIR> MSN Gaming Zone
17.10.2006 11:56 <DIR> MSXML 4.0
25.10.2004 10:33 <DIR> NetMeeting
25.10.2004 10:34 <DIR> Online-Dienste
13.06.2007 15:07 <DIR> Outlook Express
19.11.2007 23:07 <DIR> QuickTime
01.02.2008 15:55 <DIR> Sandboxie
24.01.2008 01:22 <DIR> Sunflowers
08.01.2005 20:25 <DIR> UltimateZip
24.04.2007 19:25 <DIR> VideoLAN
17.01.2005 00:43 <DIR> Wallpaper
25.10.2004 12:23 <DIR> Windows Media Connect
06.08.2007 13:37 <DIR> Windows Media Connect 2
07.08.2007 17:44 <DIR> Windows Media Player
25.10.2004 10:32 <DIR> Windows NT
21.01.2008 03:44 <DIR> WinExpert
26.09.2005 20:38 <DIR> WinRAR
26.10.2004 09:23 <DIR> WLAN
25.10.2004 11:36 <DIR> X10 Hardware
25.10.2004 10:36 <DIR> xerox
0 Datei(en) 0 Bytes
63 Verzeichnis(se), 900.870.144 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Anwendungsdaten

19.12.2005 21:38 <DIR> Adobe
03.07.2007 17:10 <DIR> Ahead
22.09.2007 19:47 <DIR> Apple
24.10.2005 15:49 <DIR> Apple Computer
15.05.2007 07:40 <DIR> ApplicationHistory
01.11.2007 22:45 <DIR> CDBurnerXP_Soft
17.01.2008 07:14 121.344 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
17.05.2007 18:14 45.545 FASTWiz.log
22.09.2005 16:43 <DIR> FRITZ!
07.01.2005 07:57 139 fusioncache.dat
03.07.2007 17:11 74.144 GDIPFONTCACHEV1.DAT
09.07.2007 20:20 <DIR> Google
29.03.2007 16:56 <DIR> Help
07.01.2005 07:55 <DIR> Identities
16.04.2007 11:16 <DIR> king.com
07.08.2007 17:44 <DIR> Microsoft
01.02.2007 00:38 <DIR> Mozilla
18.04.2005 09:46 <DIR> Powercinema
05.03.2007 22:50 <DIR> Quicksand_entertainment
29.04.2006 18:23 <DIR> RadonLabs
11.01.2008 03:00 <DIR> Shareaza
25.09.2005 23:52 <DIR> Skype
4 Datei(en) 241.172 Bytes
18 Verzeichnis(se), 900.870.144 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten

21.01.2005 15:49 <DIR> ACD Systems
18.04.2007 22:33 <DIR> Adobe
28.01.2007 18:33 <DIR> AdobeUM
28.07.2007 00:21 <DIR> Ahead
04.07.2007 22:07 <DIR> Apple Computer
03.07.2007 15:39 <DIR> AVS4YOU
27.02.2006 01:19 <DIR> Azureus
19.01.2005 04:01 <DIR> Cyberlink
13.01.2005 04:44 <DIR> DIMAGE
12.07.2007 01:11 <DIR> DivX
25.01.2008 21:27 <DIR> Drv Download
21.02.2006 01:39 <DIR> FRITZ!
21.11.2005 00:20 <DIR> Google
23.02.2005 06:40 <DIR> Help
16.04.2007 11:16 <DIR> ICQ Toolbar
25.10.2004 10:39 <DIR> Identities
24.12.2007 14:09 <DIR> InstallShield
18.01.2005 23:19 <DIR> Kazaa Lite
29.04.2006 14:15 <DIR> Lavasoft
10.01.2008 22:04 <DIR> LimeWire
11.02.2007 03:08 1.570 Lohnrechner2006.pref
25.10.2004 12:30 <DIR> Macromedia
20.01.2008 01:54 <DIR> Mozilla
03.07.2007 18:35 <DIR> Nero
15.01.2008 03:12 <DIR> phonostar-Player
10.05.2007 13:02 <DIR> Real
20.01.2008 01:57 <DIR> SecondLife
02.05.2006 16:26 <DIR> Steganos AntiSpam 7
22.03.2005 18:37 <DIR> Sun
31.03.2005 16:50 <DIR> Talkback
07.01.2005 10:13 <DIR> Template
29.09.2005 23:11 <DIR> Thunderbird
21.12.2007 23:11 <DIR> TuneUp Software
24.04.2007 19:42 <DIR> vlc
07.01.2005 12:05 <DIR> WEBDE
1 Datei(en) 1.570 Bytes
34 Verzeichnis(se), 900.866.048 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

13.01.2005 04:41 <DIR> ACD Systems
08.02.2006 22:47 305 addr_file.html
28.01.2007 18:40 <DIR> Adobe
03.07.2007 17:08 <DIR> Ahead
24.12.2006 00:56 <DIR> AntiVir PersonalEdition Classic
03.07.2007 11:00 <DIR> Apple
29.09.2006 20:22 <DIR> Apple Computer
03.07.2007 15:39 <DIR> AVS4YOU
25.10.2004 11:36 <DIR> CyberLink
15.02.2006 22:00 <DIR> DVD Shrink
29.04.2006 02:18 <DIR> Global Software Publishing
08.07.2007 01:24 <DIR> Google
16.01.2008 23:13 <DIR> Move Bore Curb Tool
13.01.2005 04:48 <DIR> QuickTime
25.10.2004 10:41 <DIR> SBSI
29.04.2006 14:16 <DIR> Spybot - Search & Destroy
22.09.2005 19:00 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
16 Verzeichnis(se), 900.866.048 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Programme\Gemeinsame Dateien

21.01.2008 03:43 <DIR> .
21.01.2008 03:43 <DIR> ..
07.01.2005 08:33 <DIR> Adobe
23.12.2007 01:26 <DIR> Ahead
03.07.2007 11:01 <DIR> Apple
30.03.2007 21:24 <DIR> AVM
03.07.2007 17:32 <DIR> AVSMedia
08.01.2005 23:14 <DIR> Borland Shared
16.01.2005 23:22 <DIR> Caere
21.01.2005 23:46 <DIR> designer
25.10.2004 10:33 <DIR> Dienste
22.05.2006 19:28 <DIR> DirectX
26.10.2004 09:23 <DIR> InstallShield
22.03.2005 18:33 <DIR> Java
07.07.2007 22:32 <DIR> Microsoft Shared
25.10.2004 10:33 <DIR> MSSoap
12.10.2006 21:56 <DIR> ODBC
10.05.2007 13:02 <DIR> Real
12.10.2007 15:30 <DIR> Roxio Shared
25.10.2004 11:07 <DIR> SpeechEngines
18.02.2006 20:42 <DIR> SWF Studio
13.06.2007 15:07 <DIR> System
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 900.866.048 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 10AB-1A05

Verzeichnis von C:\Windows\tasks

01.02.2008 17:15 384 1-Klick-Wartung.job
14.01.2008 23:00 276 AppleSoftwareUpdate.job
2 Datei(en) 660 Bytes
0 Verzeichnis(se), 900.866.048 Bytes frei
Seitenanfang Seitenende
02.02.2008, 12:09
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#26 Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\Tasks\A86558F9918ACF89.job
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe

Folders to delete:
C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Drv Download
C:\Programme\Drv Download
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool
Klicke die grüne Ampel avenger
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

nach Neustart erscheint ein Log vom Avenger - poste es hier + noch mal die 2 Logs vom Comboscan !
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.02.2008, 12:36
Member

Beiträge: 81
#27 Scan ist erfolgt.

ComboFix 08-02.02.5 - SPOCKY 2008-02-02 12:31:05.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.294 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\SPOCKY\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\SPOCKY\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe
C:\WINDOWS\Tasks\A86558F9918ACF89.job
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\memo meta.exe
C:\WINDOWS\start.exe
C:\WINDOWS\Tasks\A86558F9918ACF89.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 ))))))))))))))))))))))))))))))
.

2008-02-02 03:23 . 2007-05-24 11:46 53,248 --a------ C:\WINDOWS\system32\blib.dll
2008-02-02 03:23 . 2007-05-24 11:46 24,576 --a------ C:\WINDOWS\system32\BAZLib.dll
2008-02-02 03:23 . 2007-05-24 11:46 10,752 --a------ C:\WINDOWS\system32\aamd532.dll
2008-02-02 03:19 . 1998-06-24 01:00 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX
2008-02-02 03:18 . 2005-03-03 18:29 303,104 --a------ C:\WINDOWS\system32\ciplListBar.ocx
2008-02-02 03:18 . 2002-04-12 09:46 155,648 --a------ C:\WINDOWS\system32\ciplImageList.ocx
2008-02-02 03:03 . 2008-02-02 12:08 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-02 02:52 . 2008-02-02 12:15 <DIR> d-------- C:\Programme\Ascentive
2008-02-02 02:52 . 2007-06-20 14:47 143,360 --a------ C:\WINDOWS\system32\ConTest.dll
2008-02-02 02:52 . 2007-05-24 11:46 36,864 --a------ C:\WINDOWS\system32\ascbalon.dll
2008-02-02 02:52 . 2007-05-24 11:46 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2008-02-01 18:12 . 2004-10-25 10:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-02-01 18:12 . 2004-10-25 10:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-01 18:12 . 2004-10-25 12:03 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-02-01 18:12 . 2004-10-25 11:28 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-01 18:12 . 2004-10-25 11:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-01 18:12 . 2004-10-25 11:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-01 18:12 . 2004-10-26 11:51 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-01 18:12 . 2004-10-25 10:39 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-01 18:12 . 2004-10-25 11:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-01 18:12 . 2004-10-25 12:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-01 16:48 . 2008-02-01 16:48 <DIR> d-------- C:\Deckard
2008-01-28 12:32 . 2008-01-28 12:52 311 --------- C:\WINDOWS\tm.ini
2008-01-28 12:32 . 2008-01-28 12:52 35 --------- C:\WINDOWS\tdf.dii
2008-01-28 12:31 . 2008-01-28 12:31 <DIR> d-------- C:\Programme\ElsterFormular
2008-01-24 01:22 . 2008-01-24 01:22 <DIR> d-------- C:\Programme\Sunflowers
2008-01-23 01:52 . 2008-01-23 01:52 <DIR> d-------- C:\Sandbox
2008-01-20 11:26 . 2008-01-16 12:22 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-01-20 11:01 . 2008-01-20 11:02 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-20 11:01 . 2008-01-25 21:12 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-20 11:01 . 2008-01-25 21:12 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-20 11:01 . 2008-01-25 21:12 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-01-20 01:54 . 2008-01-20 01:57 <DIR> d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\SecondLife
2008-01-16 23:13 . 2008-01-16 23:13 <DIR> d-------- C:\Programme\Drv Download
2008-01-14 03:01 . 2008-01-15 03:12 <DIR> d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\phonostar-Player
2008-01-08 02:18 . 2008-01-08 02:18 80,105 --a------ C:\WINDOWS\system32\dcads-remove.exe
2008-01-08 02:18 . 2008-01-08 02:18 40,731 --a------ C:\WINDOWS\system32\superiorads-uninst.exe
2008-01-08 02:05 . 2008-01-25 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Drv Download

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 02:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-02 01:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-24 00:01 --------- d-----w C:\Programme\Java
2008-01-23 02:05 --------- d-----w C:\Programme\a-squared Free
2008-01-21 02:44 --------- d-----w C:\Programme\WinExpert
2007-12-24 13:09 --------- d-----w C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\InstallShield
2007-12-23 00:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-12-22 22:07 --------- d-----w C:\Programme\Ahead
2007-12-21 22:11 --------- d-----w C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\TuneUp Software
2007-07-04 22:38 11,270 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:56 204288]
"Performance Center"="C:\Programme\Ascentive\Performance Center\ApcMain.exe" [ ]
"PC SpeedScan Pro"="C:\Programme\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe" [ ]
"PC ScanAndSweep"="C:\Programme\Ascentive\PC ScanAndSweep\PCScanAndSweep.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 15:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [2004-01-27 20:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-12-04 18:18 64000 C:\WINDOWS\SOUNDMAN.EXE]
"FlashIcon"="C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE" [2003-11-18 09:10 49152]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-05-18 16:57 61440]
"Removecpl"="removecpl.exe" [2003-01-16 10:33 24576 C:\WINDOWS\system32\RemoveCpl.exe]
"bcmwltry"="bcmwltry.exe" [2003-07-17 15:40 483328 C:\WINDOWS\system32\bcmwltry.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 16:34 249896]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10 409600]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"ActiveSpeed"="C:\Programme\Ascentive\ActiveSpeed\AS.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1
"DisableLockWorkstation"= 1

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 15:29]
S2 0190_0900_Warner_MonitorService;0190/0900 Warner Überwachungsdienst;C:\Programme\0190 Warner\w0svc.exe []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 16:15]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 15:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 15:41]
S3 Cap7134;Cap7134 Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2004-04-21 20:38]
S3 PhTVTune;Cap7134 TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2004-04-21 21:12]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29b86020-a4d5-11db-83ee-0011f51cf1b6}]
\Shell\AutoRun\command - G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b237f7fc-b0ac-11db-83f9-b4f447e72b6f}]
\Shell\AutoRun\command - G:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-01 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-01-14 22:00:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-02 12:37:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-02 12:39:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-02 11:38:50
.
2008-01-30 21:35:13 --- E O F ---
Seitenanfang Seitenende
02.02.2008, 12:46
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#28 ««
Combofix
erstelle eine neue cfscript.txt - (Aenderung der ersten zulassen) - ziehe sie wieder auf combofix - Combofix neu anwenden

Zitat

File::
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe

Folder::
C:\Programme\Drv Download
C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Drv Download
»»
lade sdfix - im normalmodus - RunThis.bat doppelt klicken - schreibe 3 rein - Sophos wird geladen - scanne mit option 6 + poste den scanreport
http://virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.02.2008, 12:52
Member

Beiträge: 81
#29 Bin gerade etwas verwirrt!
Ist das jetzt das richtige?
Bin echt kein Computerass!!!
deshalb etwas langsam und blicke auch nicht so super durch. Sorry!
Wenn ich noc etwas erledigen soll, dann bitte schreiben!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mwsjmgbf

*******************

Script file located at: \??\C:\Program Files\auqqwdwt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Tasks\A86558F9918ACF89.job not found!
Deletion of file C:\WINDOWS\Tasks\A86558F9918ACF89.job failed!

Could not process line:
C:\WINDOWS\Tasks\A86558F9918ACF89.job
Status: 0xc0000034



File C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe not found!
Deletion of file C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Drv Download deleted successfully.
Folder C:\Programme\Drv Download deleted successfully.


Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool not found!
Deletion of folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mwsjmgbf

*******************

Script file located at: \??\C:\Program Files\auqqwdwt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Tasks\A86558F9918ACF89.job not found!
Deletion of file C:\WINDOWS\Tasks\A86558F9918ACF89.job failed!

Could not process line:
C:\WINDOWS\Tasks\A86558F9918ACF89.job
Status: 0xc0000034



File C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe not found!
Deletion of file C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\SPOCKY\Lokale Einstellungen\Temp\aupd.exe
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Drv Download deleted successfully.
Folder C:\Programme\Drv Download deleted successfully.


Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool not found!
Deletion of folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Deckard's System Scanner v20071014.68
Run by SPOCKY on 2008-02-02 13:06:30
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]Total Physical Memory: 511 MiB (512 MiB recommended).[/color]
[color=red]System Drive C: has 1.37 GiB (less than 15%) free.[/color]


-- HijackThis (run as SPOCKY.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:35, on 02.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\SPOCKY\Desktop\dss.exe
C:\DOKUME~1\SPOCKY\EIGENE~1\HJT\SPOCKY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Removecpl] removecpl.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ActiveSpeed] C:\Programme\Ascentive\ActiveSpeed\AS.exe -b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m
O4 - HKCU\..\Run: [PC SpeedScan Pro] C:\Programme\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe -m
O4 - HKCU\..\Run: [PC ScanAndSweep] C:\Programme\Ascentive\PC ScanAndSweep\PCScanAndSweep.exe -m
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098702224421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130693228109
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4953/mcfscan.cab
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Unknown owner - C:\Programme\0190 Warner\w0svc.exe (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9972 bytes

-- Files created between 2008-01-02 and 2008-02-02 -----------------------------

2008-02-02 12:29:45 68096 --a------ C:\WINDOWS\system32\zip.exe
2008-02-02 12:29:45 98816 --a------ C:\WINDOWS\system32\sed.exe
2008-02-02 12:29:45 80412 --a------ C:\WINDOWS\system32\grep.exe
2008-02-02 12:29:45 73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-02-02 03:23:44 53248 --a------ C:\WINDOWS\system32\blib.dll <Not Verified; ; ZLib.DLL>
2008-02-02 03:23:42 10752 --a------ C:\WINDOWS\system32\aamd532.dll <Not Verified; Almeida & Andrade Ltda; MD5 Maker DLL>
2008-02-02 03:23:40 24576 --a------ C:\WINDOWS\system32\BAZLib.dll <Not Verified; iipl; BAZLib>
2008-02-02 03:03:44 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data
2008-02-02 03:03:44 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data\PC Tools
2008-02-02 02:52:09 36864 --a------ C:\WINDOWS\system32\ascbalon.dll <Not Verified; CIPL; Extended Balloon Dynamic Link Library>
2008-02-02 02:52:08 20480 --a------ C:\WINDOWS\system32\SysRestore.dll <Not Verified; Ascentive LLC; prjSysRestore>
2008-02-02 02:52:08 143360 --a------ C:\WINDOWS\system32\ConTest.dll <Not Verified; Ascentive; ConnectionTester>
2008-02-02 02:52:03 0 d-------- C:\Programme\Ascentive
2008-02-02 02:43:06 0 dr-h----- C:\Dokumente und Einstellungen\SPOCKY\Recent
2008-01-28 12:31:45 0 d-------- C:\Programme\ElsterFormular
2008-01-24 01:22:40 0 d-------- C:\Programme\Sunflowers
2008-01-23 01:52:46 0 d-------- C:\Sandbox
2008-01-20 11:01:10 0 d-------- C:\WINDOWS\system32\ActiveScan
2008-01-08 02:18:44 80105 --a------ C:\WINDOWS\system32\dcads-remove.exe
2008-01-08 02:18:40 40731 --a------ C:\WINDOWS\system32\superiorads-uninst.exe


-- Find3M Report ---------------------------------------------------------------

2008-02-02 12:34:26 0 d-------- C:\Programme\Gemeinsame Dateien
2008-02-02 03:23:38 0 d--h----- C:\Programme\InstallShield Installation Information
2008-02-02 03:04:48 514194 --a----c- C:\WINDOWS\system32\perfh007.dat
2008-02-02 03:04:48 104298 --a----c- C:\WINDOWS\system32\perfc007.dat
2008-02-02 02:39:46 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-01-24 01:01:39 0 d-------- C:\Programme\Java
2008-01-23 03:05:53 0 d-------- C:\Programme\a-squared Free
2008-01-21 03:44:42 0 d-------- C:\Programme\WinExpert
2008-01-20 01:57:50 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\SecondLife
2008-01-20 01:54:59 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\Mozilla
2008-01-20 01:52:07 13706 --a----c- C:\WINDOWS\mozver.dat
2008-01-15 03:12:51 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\phonostar-Player
2007-12-24 14:09:47 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\InstallShield
2007-12-23 01:26:58 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-12-22 23:07:03 0 d-------- C:\Programme\Ahead
2007-12-22 00:12:39 2322432 --a------ C:\WINDOWS\system32\TUKernel.exe <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>
2007-12-21 23:11:47 0 d-------- C:\Dokumente und Einstellungen\SPOCKY\Anwendungsdaten\TuneUp Software


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [04.09.2001 15:24 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [27.01.2004 20:10]
"SoundMan"="SOUNDMAN.EXE" [04.12.2003 18:18 C:\WINDOWS\SOUNDMAN.EXE]
"FlashIcon"="C:\Programme\Generic\USB Card Reader Driver v2.2e\FlashIcon.EXE" [18.11.2003 09:10]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [18.05.2004 16:57]
"Removecpl"="removecpl.exe" [16.01.2003 10:33 C:\WINDOWS\system32\RemoveCpl.exe]
"bcmwltry"="bcmwltry.exe" [17.07.2003 15:40 C:\WINDOWS\system32\bcmwltry.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [11.10.2007 16:34]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [14.01.2004 02:10]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [14.11.2007 23:43]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [15.11.2007 13:11]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 00:11]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.05.2007 03:06]
"ActiveSpeed"="C:\Programme\Ascentive\ActiveSpeed\AS.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 13:00]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [03.11.2006 08:56]
"Performance Center"="C:\Programme\Ascentive\Performance Center\ApcMain.exe" []
"PC SpeedScan Pro"="C:\Programme\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe" []
"PC ScanAndSweep"="C:\Programme\Ascentive\PC ScanAndSweep\PCScanAndSweep.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"=1
"DisableLockWorkstation"=1


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29b86020-a4d5-11db-83ee-0011f51cf1b6}]
AutoRun\command- G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b237f7fc-b0ac-11db-83f9-b4f447e72b6f}]
AutoRun\command- G:\preinst.exe




-- End of Deckard's System Scanner: finished at 2008-02-02 13:06:57 ------------
Dieser Beitrag wurde am 02.02.2008 um 14:01 Uhr von dreamei editiert.
Seitenanfang Seitenende
02.02.2008, 14:13
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#30 ««
du hast alles richtig gemacht.. ich bin von Combofix auf den Avenger umgeschwenkt...hab editiert ..sorry .

»»
lade sdfix - im normalmodus - RunThis.bat doppelt klicken - schreibe 3 rein - Sophos wird geladen - scanne mit option 6 + poste den scanreport
http://virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: