Home » Viren, Trojaner & Malware Forum » Instant Access: wie löschen? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4

Antworten

Instant Access: wie löschen?

15.01.2008, 19:03

Elli-Chan

...neu hier

Beiträge: 6

#1 hi, ich hab das problem mit dem instant access dialer
habe schon andere treats gelesen un auch alles ausprobiert, aber es hat nicht geklappt. vlt hab ich auch was falsch gemacht, brauche hilfe, weil diese popups mich schon längere zeit nerven
danke

mfg elli-chan

Logfile of HijackThis v1.99.1
Scan saved at 19:05:26, on 15.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\DOKUME~1\DAVID\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\System32\lnaccess.exe /res
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFA56BB5-7625-4CAE-B57D-7A0892367B12}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\DAVID\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

15.01.2008, 20:35

Pinguin

Ehrenmitglied

Beiträge: 1441

#2 Hallo Elli-Chan

««
poste bitte dieses log hier
http://www.virus-protect.org/artikel/tools/combofix.html

««
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Service Hosts

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

15.01.2008, 20:57

Elli-Chan

...neu hier

Themenstarter

Beiträge: 6

#3 ComboFix 08-01-15.4 - David 2008-01-15 20:49:35.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.527 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\David\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
/wow section - STAGE 3

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\afneikmefr_navfx.dat
c:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\kroaeabhb.dat
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\kroaeabhb.exe
c:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\kroaeabhb_nav.dat
c:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\kroaeabhb_navps.dat
C:\Programme\Gemeinsame Dateien\inetget
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\winsysupd71.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NETWORK_MONITOR
-------\Network Monitor

((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-15 20:49 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 14:57 . 2008-01-15 14:57 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\skypePM
2008-01-15 14:57 . 2008-01-15 14:57 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-15 14:42 . 2008-01-15 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\Skype
2008-01-15 14:41 . 2008-01-15 14:41 <DIR> d-------- C:\Programme\Skype
2008-01-15 14:41 . 2008-01-15 14:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-01-15 14:41 . 2008-01-15 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-14 21:33 . 2008-01-14 21:33 <DIR> d-------- C:\!KillBox
2008-01-14 21:18 . 2007-12-26 21:25 1,000 --a------ C:\datFind.bat
2008-01-14 20:50 . 2007-06-03 18:31 352,768 --a------ C:\regsearch.exe
2008-01-06 15:17 . 2008-01-06 15:17 <DIR> d-------- C:\Programme\DAEMON Tools
2008-01-04 17:07 . 2008-01-04 17:07 3,507 --a------ C:\WINDOWS\ST5UNST.001
2008-01-04 17:06 . 2008-01-04 17:06 <DIR> d-------- C:\WINDOWS\system32\OCON3D
2008-01-04 17:06 . 2008-01-04 17:06 3,617 --a------ C:\WINDOWS\ST5UNST.000
2008-01-04 00:12 . 2008-01-04 00:12 268 --ah----- C:\sqmdata19.sqm
2008-01-04 00:12 . 2008-01-04 00:12 244 --ah----- C:\sqmnoopt19.sqm
2008-01-03 19:25 . 2008-01-03 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\ASCON Installer
2008-01-03 19:25 . 2008-01-03 19:25 120,320 --a------ C:\WINDOWS\system32\czip.ocx
2008-01-03 19:25 . 2008-01-03 19:25 29,696 --a------ C:\WINDOWS\system32\sfx32.dll
2008-01-03 17:45 . 2008-01-03 17:45 268 --ah----- C:\sqmdata18.sqm
2008-01-03 17:45 . 2008-01-03 17:45 244 --ah----- C:\sqmnoopt18.sqm
2007-12-19 13:43 . 2007-12-19 13:43 268 --ah----- C:\sqmdata17.sqm
2007-12-19 13:43 . 2007-12-19 13:43 244 --ah----- C:\sqmnoopt17.sqm
2007-12-18 23:13 . 2007-12-18 23:13 268 --ah----- C:\sqmdata16.sqm
2007-12-18 23:13 . 2007-12-18 23:13 244 --ah----- C:\sqmnoopt16.sqm
2007-12-18 22:19 . 2007-12-18 22:19 268 --ah----- C:\sqmdata15.sqm
2007-12-18 22:19 . 2007-12-18 22:19 244 --ah----- C:\sqmnoopt15.sqm
2007-12-18 20:30 . 2007-12-18 20:30 268 --ah----- C:\sqmdata14.sqm
2007-12-18 20:30 . 2007-12-18 20:30 244 --ah----- C:\sqmnoopt14.sqm
2007-12-18 14:49 . 2007-12-18 14:49 268 --ah----- C:\sqmdata13.sqm
2007-12-18 14:49 . 2007-12-18 14:49 244 --ah----- C:\sqmnoopt13.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-15 16:17 2,921,472 ------w C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-01-15 16:17 1,678,336 ------w C:\WINDOWS\Internet Logs\xDB40.tmp
2008-01-14 14:25 414,208 ------w C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-01-14 14:25 1,663,488 ------w C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-01-13 18:07 1,832,448 ------w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-01-13 18:07 1,660,928 ------w C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-01-11 19:03 2,915,328 ------w C:\WINDOWS\Internet Logs\xDB39.tmp
2008-01-11 19:03 1,652,736 ------w C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-01-08 19:37 1,643,520 ------w C:\WINDOWS\Internet Logs\xDB38.tmp
2008-01-08 19:37 1,582,592 ------w C:\WINDOWS\Internet Logs\xDB37.tmp
2008-01-07 19:17 97,280 ------w C:\WINDOWS\Internet Logs\xDB36.tmp
2008-01-07 15:33 355,840 ------w C:\WINDOWS\Internet Logs\xDB34.tmp
2008-01-07 15:33 1,640,960 ------w C:\WINDOWS\Internet Logs\xDB35.tmp
2008-01-07 01:27 1,640,448 ------w C:\WINDOWS\Internet Logs\xDB33.tmp
2008-01-07 01:27 1,419,264 ------w C:\WINDOWS\Internet Logs\xDB32.tmp
2008-01-04 11:59 64,512 ------w C:\WINDOWS\Internet Logs\xDB31.tmp
2008-01-04 02:12 269,824 ------w C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-01-04 02:12 1,636,352 ------w C:\WINDOWS\Internet Logs\xDB30.tmp
2008-01-03 16:44 5,012,906 ------w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-12-30 09:20 88,576 ------w C:\WINDOWS\Internet Logs\xDB2D.tmp
2007-12-30 09:20 1,626,112 ------w C:\WINDOWS\Internet Logs\xDB2E.tmp
2007-12-26 21:42 319,488 ------w C:\WINDOWS\Internet Logs\xDB2B.tmp
2007-12-26 21:42 1,622,528 ------w C:\WINDOWS\Internet Logs\xDB2C.tmp
2007-12-25 21:14 1,617,920 ------w C:\WINDOWS\Internet Logs\xDB2A.tmp
2007-12-25 21:14 1,136,128 ------w C:\WINDOWS\Internet Logs\xDB29.tmp
2007-12-20 21:20 2,167,808 ------w C:\WINDOWS\Internet Logs\xDB27.tmp
2007-12-20 21:20 1,615,360 ------w C:\WINDOWS\Internet Logs\xDB28.tmp
2007-12-18 17:33 723,456 ------w C:\WINDOWS\Internet Logs\xDB26.tmp
2007-12-16 00:55 345,600 ------w C:\WINDOWS\Internet Logs\xDB25.tmp
2007-12-15 00:56 2,894,848 ------w C:\WINDOWS\Internet Logs\xDB23.tmp
2007-12-15 00:56 1,588,224 ------w C:\WINDOWS\Internet Logs\xDB24.tmp
2007-12-09 16:20 2,808,832 ------w C:\WINDOWS\Internet Logs\xDB21.tmp
2007-12-09 16:20 1,571,328 ------w C:\WINDOWS\Internet Logs\xDB22.tmp
2007-12-05 20:22 870,912 ------w C:\WINDOWS\Internet Logs\xDB1F.tmp
2007-12-05 20:22 1,565,184 ------w C:\WINDOWS\Internet Logs\xDB20.tmp
2007-12-04 22:14 2,717,184 ------w C:\WINDOWS\Internet Logs\xDB1E.tmp
2007-11-30 20:12 664,576 ------w C:\WINDOWS\Internet Logs\xDB1C.tmp
2007-11-30 20:12 1,558,528 ------w C:\WINDOWS\Internet Logs\xDB1D.tmp
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-11-28 16:32 1,081,344 ------w C:\WINDOWS\Internet Logs\xDB1B.tmp
2007-11-27 18:00 1,543,168 ------w C:\WINDOWS\Internet Logs\xDB1A.tmp
2007-11-27 18:00 1,019,904 ------w C:\WINDOWS\Internet Logs\xDB19.tmp
2007-11-25 21:27 406,528 ------w C:\WINDOWS\Internet Logs\xDB17.tmp
2007-11-25 21:27 1,537,536 ------w C:\WINDOWS\Internet Logs\xDB18.tmp
2007-11-25 17:29 741,376 ------w C:\WINDOWS\Internet Logs\xDB15.tmp
2007-11-25 17:29 1,537,024 ------w C:\WINDOWS\Internet Logs\xDB16.tmp
2007-11-24 23:00 2,816,000 ------w C:\WINDOWS\Internet Logs\xDB13.tmp
2007-11-24 23:00 1,534,976 ------w C:\WINDOWS\Internet Logs\xDB14.tmp
2007-11-18 21:18 182,272 ------w C:\WINDOWS\Internet Logs\xDB11.tmp
2007-11-18 21:18 1,516,544 ------w C:\WINDOWS\Internet Logs\xDB12.tmp
2007-11-18 15:24 113,152 ------w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-11-18 00:31 2,688,512 ------w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-11-04 01:25 1,725,440 ------w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-11-04 01:25 1,414,656 ------w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-10-28 10:31 189,440 ------w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-10-28 10:31 1,392,640 ------w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-10-27 22:32 18,432 --sha-w C:\Programme\Thumbs.db
2007-10-27 17:12 47,104 ------w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-10-27 14:26 570,880 ------w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-10-27 14:26 1,385,472 ------w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-10-24 18:41 219,648 ------w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-10-24 18:41 1,353,216 ------w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-10-23 20:44 234,496 ------w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-23 19:16 1,350,144 ------w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-10-22 15:57 37,888 ------w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-10-21 21:08 516,096 ------w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-10-21 21:08 1,346,048 ------w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-10-20 23:00 64,423 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_51_55_small.dmp.zip
2007-10-20 23:00 61,143 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_52_00_small.dmp.zip
2007-10-20 22:23 80,781 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_11_52_small.dmp.zip
2007-10-20 22:23 64,735 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_10_13_small.dmp.zip
2007-10-20 22:07 67,681 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_22_59_31_small.dmp.zip
2007-05-24 18:39 64,456 ----a-w C:\Dokumente und Einstellungen\David\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-23 01:50 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-08-23 01:50 56 --sh--r C:\WINDOWS\system32\E41A014BCF.sys
2005-07-29 15:24 472 --sha-r C:\WINDOWS\RGF2aWQ\l3IZuqk.vbs
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 15:20 21686568]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-10-06 14:16 741376 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"RAM_DEFRAG"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 15:46 249896]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 14:16 5058560]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"Ad-Watch"="C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe" [ ]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-04 20:59 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 12:00 13312]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]
"services32"="C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe" [ ]
"roof"="C:\PROGRA~1\GEMEIN~1\roof\roofm.exe" [ ]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"= C:\WINDOWS\System32\guxxa.dll [ ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pnpsvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MDM"=2 (0x2)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2007-09-21 14:37]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-09-21 14:37]
R2 ithsgt;ithsgt;C:\WINDOWS\System32\DRIVERS\ithsgt.sys [2005-11-09 17:54]
R2 lilsgt;lilsgt;C:\WINDOWS\System32\DRIVERS\lilsgt.sys [2005-11-09 17:54]
R2 TmpUpSrv;AntiVir Update Temp;"C:\DOKUME~1\DAVID\LOKALE~1\TEMP\_VWUPSRV.EXE" [2004-08-17 13:01]
R3 Tetris;Tetris driver;C:\WINDOWS\System32\Drivers\Tetris.sys [2005-11-09 18:47]
S2 pnpsvc;Plug and Play svc service;C:\WINDOWS\system32\svchost.exe [2001-08-18 12:00]
S2 ServiceHost;Service Hosts;"C:\WINDOWS\shost.exe" []
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
pnpsvc
ã

.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:15:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
"2008-01-15 18:19:02 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 20:53:59
Windows 5.1.2600 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 20:55:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-15 19:55:30

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 15.01.2008 20:58:24 for strings:
; 'service hosts'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEHOST\0000]
"DeviceDesc"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServiceHost]
"DisplayName"="Service Hosts"
"Description"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEHOST\0000]
"DeviceDesc"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ServiceHost]
"DisplayName"="Service Hosts"
"Description"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SERVICEHOST\0000]
"DeviceDesc"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ServiceHost]
"DisplayName"="Service Hosts"
"Description"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEHOST\0000]
"DeviceDesc"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceHost]
"DisplayName"="Service Hosts"
"Description"="Service Hosts"

; End Of The Log...

15.01.2008, 21:39

Pinguin

Ehrenmitglied

Beiträge: 1441

#4 Hallo Elli-Chan

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\roof" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Windows" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

15.01.2008, 21:44

Elli-Chan

...neu hier

Themenstarter

Beiträge: 6

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

01.01.2004 16:38 <DIR> .
01.01.2004 16:38 <DIR> ..
20.11.2003 00:22 740 jinstall-1_4_2_03.inf
09.10.2003 10:32 144 QTPlugin.inf
01.03.2004 21:50 9.883.524 QuickTimeInstallCache.qdat
25.08.2003 18:12 1.096 iuctl.inf
03.08.2004 16:45 1.271 erma.inf
23.01.2002 18:41 40 cyber.lic
30.09.2002 05:54 40 XIsOroProj1.lic
14.08.2005 14:17 <DIR> CONFLICT.1
14.03.2007 00:51 <DIR> CONFLICT.2
11.06.2007 12:21 5.021 swflash.inf
22.02.2007 23:41 304.544 MessengerStatsPAClient.dll
18.07.2006 17:45 248 IaLdr32.inf
10 Datei(en) 10.196.668 Bytes
4 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Programme\Common Files

03.07.2004 20:24 <DIR> .
03.07.2004 20:24 <DIR> ..
03.07.2004 20:24 <DIR> System
30.09.2004 21:58 <DIR> Microsoft Shared
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Dokumente und Einstellungen\David

01.01.2004 16:47 <DIR> .
01.01.2004 16:47 <DIR> ..
01.01.2004 16:30 <DIR> Startmenü
01.01.2004 16:47 <DIR> Favoriten
01.01.2004 16:30 <DIR> Desktop
01.01.2004 16:47 <DIR> Eigene Dateien
01.01.2004 16:51 <DIR> WINDOWS
06.02.2004 17:41 2.641 .cgoban2rc
02.01.2004 13:22 <DIR> .java
02.01.2004 13:22 <DIR> .jpi_cache

Verzeichnis von C:\Program Files

03.08.2004 11:45 <DIR> .
03.08.2004 11:45 <DIR> ..
28.05.2006 13:33 <DIR> ICQLite
10.07.2006 23:44 <DIR> Common Files
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temporary Internet Files\Content.IE5

01.01.2004 16:47 <DIR> .
01.01.2004 16:47 <DIR> ..
15.01.2008 21:13 2.342.912 index.dat
1 Datei(en) 2.342.912 Bytes
2 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp

01.01.2004 16:47 <DIR> .
01.01.2004 16:47 <DIR> ..
15.01.2008 20:56 16.384 Perflib_Perfdata_730.dat
15.01.2008 20:57 171 jusched.log
15.01.2008 21:00 49.152 ~DF3B76.tmp
15.01.2008 21:00 512 ~DF3B87.tmp
15.01.2008 21:00 49.152 ~DF46B6.tmp
15.01.2008 21:00 512 ~DF46CB.tmp
15.01.2008 21:04 <DIR> MessengerCache
15.01.2008 21:42 8.454.144 fla23.tmp
15.01.2008 21:11 <DIR> Blizzard Installer Bootstrap - 00113e8d
15.01.2008 21:25 <DIR> plugtmp
17.08.2004 13:01 36.864 _VWUPSRV.EXE
8 Datei(en) 8.606.891 Bytes
5 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\WINDOWS\Temp

15.01.2008 20:55 <DIR> .
15.01.2008 20:55 <DIR> ..
15.01.2008 20:56 256 ZLT05184.TMP
15.01.2008 20:56 256 ZLT03cdd.TMP
2 Datei(en) 512 Bytes
2 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Temp

03.03.2005 21:22 <DIR> .
03.03.2005 21:22 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Programme

01.01.2004 16:30 <DIR> .
01.01.2004 16:30 <DIR> ..
01.01.2004 16:30 <DIR> Gemeinsame Dateien
01.01.2004 16:36 <DIR> Windows NT
01.01.2004 16:36 <DIR> MSN Gaming Zone
01.01.2004 16:37 <DIR> Internet Explorer
01.01.2004 16:37 <DIR> Outlook Express
01.01.2004 16:37 <DIR> NetMeeting
01.01.2004 16:37 <DIR> Windows Media Player
01.01.2004 16:38 <DIR> Movie Maker
01.01.2004 16:40 <DIR> microsoft frontpage
01.01.2004 16:40 <DIR> xerox
01.01.2004 16:53 <DIR> VIA Technologies, Inc
01.01.2004 17:14 <DIR> T-Online
01.01.2004 17:25 <DIR> kiseido
01.01.2004 17:33 <DIR> Java
04.01.2004 14:28 <DIR> WinRAR
13.01.2004 18:11 <DIR> Microsoft Office
08.02.2004 17:59 <DIR> gGo
19.02.2004 21:56 <DIR> Adobe
23.02.2004 15:45 <DIR> Ahead
28.02.2004 11:30 <DIR> DivX
01.03.2004 21:47 <DIR> QuickTime
03.03.2004 21:10 <DIR> IrfanView
07.03.2004 15:14 <DIR> ICQLite
09.05.2004 20:04 <DIR> Microsoft Visual Studio
12.06.2004 20:50 <DIR> SmartFTP Setup Files
12.06.2004 20:50 <DIR> SmartFTP
28.06.2004 15:31 <DIR> MS
03.07.2004 20:24 <DIR> Common Files
14.08.2004 19:11 <DIR> VideoLAN
26.08.2004 20:41 <DIR> GoGrinder
28.09.2004 17:56 <DIR> Zone Labs
05.10.2004 16:18 <DIR> MathSoft
10.10.2004 07:04 <DIR> DashBaduk
07.02.2005 21:41 <DIR> Smart Projects
06.04.2005 01:03 <DIR> Google
27.05.2005 21:20 <DIR> Azureus
20.06.2005 17:25 <DIR> pl
20.06.2005 17:30 <DIR> SWI-Prolog-Editor
05.08.2005 16:20 <DIR> Winamp
10.08.2005 23:04 <DIR> OroBaduk
04.11.2005 20:59 <DIR> Real
09.11.2005 17:35 <DIR> Alcohol Soft
20.01.2006 13:26 <DIR> Teamspeak2_RC2
26.02.2006 01:00 <DIR> FlashGet
14.06.2006 09:32 <DIR> AntiVir PersonalEdition Classic
29.07.2006 12:41 <DIR> GUILD WARS
27.09.2006 15:05 <DIR> MSWorks
29.09.2006 10:57 <DIR> Logitech
30.09.2006 20:37 <DIR> Visions
16.04.2007 12:08 <DIR> Electronic Arts
10.06.2007 11:49 <DIR> Nokia
04.08.2007 21:04 <DIR> World of Warcraft
22.09.2007 13:04 <DIR> Sony Ericsson
14.10.2007 22:28 <DIR> MSN Messenger
04.11.2007 17:14 <DIR> Mozilla Firefox
06.01.2008 15:17 <DIR> DAEMON Tools
14.01.2008 20:58 <DIR> CleanUp!
15.01.2008 14:41 <DIR> Skype
0 Datei(en) 0 Bytes
60 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten

01.01.2004 16:47 <DIR> .
01.01.2004 16:47 <DIR> ..
01.01.2004 16:47 <DIR> Microsoft
03.01.2004 11:37 <DIR> Identities
01.02.2004 15:04 <DIR> Help
21.11.2007 21:18 64.856 GDIPFONTCACHEV1.DAT
14.11.2004 10:47 <DIR> ApplicationHistory
14.11.2004 10:47 138 fusioncache.dat
03.12.2004 22:03 <DIR> Adobe
25.08.2005 21:00 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150040}
22.01.2006 13:32 <DIR> Google
21.03.2006 19:17 <DIR> Mozilla
14.08.2006 14:56 <DIR> .SIPPS
19.08.2007 21:11 <DIR> Sony Ericsson
19.12.2007 16:08 20.992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
3 Datei(en) 85.986 Bytes
12 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Dokumente und Einstellungen\David\Anwendungsdaten

01.01.2004 16:47 <DIR> .
01.01.2004 16:47 <DIR> ..
01.01.2004 16:47 <DIR> Identities
01.01.2004 17:15 <DIR> T-Online
24.01.2004 23:10 <DIR> Sun
25.01.2004 11:39 <DIR> Macromedia
01.02.2004 15:04 <DIR> Help
01.02.2004 15:12 <DIR> vlc
19.02.2004 21:56 <DIR> Adobe
07.03.2004 15:14 <DIR> ICQLite
07.03.2004 15:15 <DIR> ICQ
12.06.2004 20:50 <DIR> SmartFTP
10.09.2004 13:53 <DIR> esra
03.12.2004 18:10 <DIR> Mozilla
03.12.2004 18:10 <DIR> Talkback
03.12.2004 22:03 <DIR> AdobeUM
24.05.2007 19:39 64.456 GDIPFONTCACHEV1.DAT
17.02.2005 23:24 <DIR> SKAT
26.05.2005 10:55 <DIR> .bittorrent
27.05.2005 21:21 <DIR> Azureus
20.06.2005 17:29 <DIR> SWI-Prolog-Editor
12.07.2005 19:55 <DIR> TuneUp Software
15.07.2005 20:52 <DIR> Google
04.11.2005 20:58 <DIR> Real
20.01.2006 13:26 <DIR> teamspeak2
29.09.2006 11:01 <DIR> Logitech
09.01.2007 12:05 <DIR> FunWebProducts
16.01.2007 21:51 <DIR> Opera
16.04.2007 12:20 <DIR> Command & Conquer 3 Tiberium Wars
18.05.2007 14:58 <DIR> gtk-2.0
10.06.2007 11:50 <DIR> PC Suite
10.06.2007 12:08 <DIR> Nokia Multimedia Player
21.06.2007 14:11 <DIR> Teleca
18.10.2007 01:38 <DIR> MessengerSkinner
03.01.2008 19:25 <DIR> ASCON Installer
15.01.2008 14:42 <DIR> Skype
15.01.2008 14:57 <DIR> skypePM
1 Datei(en) 64.456 Bytes
36 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

01.01.2004 16:30 <DIR> .
01.01.2004 16:30 <DIR> ..
01.01.2004 17:14 <DIR> T-Online
01.03.2004 21:47 <DIR> QuickTime
12.07.2005 19:54 <DIR> TuneUp Software
14.06.2006 09:29 <DIR> AntiVir PersonalEdition Classic
14.06.2006 09:36 305 addr_file.html
21.07.2006 02:33 <DIR> Zylom
30.09.2006 20:37 <DIR> Visions
31.12.2006 10:54 <DIR> Adobe
08.01.2007 15:12 <DIR> Windows Live Toolbar
15.01.2007 23:46 <DIR> Adobe Systems
16.01.2007 16:29 <DIR> nView_Profiles
31.07.2007 12:16 <DIR> Teleca
04.09.2007 17:59 <DIR> Gnab
22.09.2007 13:04 <DIR> Sony Ericsson
21.10.2007 00:29 <DIR> Lavasoft
21.10.2007 00:53 <DIR> MailFrontier
22.10.2007 20:11 <DIR> Google
15.01.2008 14:41 <DIR> Skype
15.01.2008 14:57 32 ezsid.dat
2 Datei(en) 337 Bytes
19 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Programme\Gemeinsame Dateien

01.01.2004 16:30 <DIR> .
01.01.2004 16:30 <DIR> ..
01.01.2004 16:30 <DIR> Microsoft Shared
01.01.2004 16:30 <DIR> SpeechEngines
01.01.2004 16:31 <DIR> ODBC
01.01.2004 16:37 <DIR> System
01.01.2004 16:37 <DIR> MSSoap
01.01.2004 16:37 <DIR> Dienste
01.01.2004 16:59 <DIR> InstallShield
19.02.2004 21:56 <DIR> Adobe
09.05.2004 20:04 <DIR> designer
30.12.2004 13:55 <DIR> Java
15.01.2005 13:38 <DIR> 3DO Shared
07.02.2005 22:17 <DIR> Blizzard Entertainment
19.07.2005 22:30 <DIR> Totem Shared
16.08.2005 22:28 <DIR> NSV
04.11.2005 20:59 <DIR> Real
04.11.2005 20:59 <DIR> xing shared
29.09.2006 10:58 <DIR> Logitech
15.01.2007 23:44 <DIR> Adobe Systems Shared
10.06.2007 11:49 <DIR> Nokia
10.06.2007 11:49 <DIR> PCSuite
21.06.2007 14:11 <DIR> Teleca Shared
15.01.2008 14:41 <DIR> Skype
0 Datei(en) 0 Bytes
24 Verzeichnis(se), 9.318.989.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3523-17EA

Verzeichnis von C:\Windows\tasks

01.01.2004 16:37 <DIR> .
01.01.2004 16:37 <DIR> ..
04.01.2008 17:15 396 1-Klick-Wartung.job
15.01.2008 21:19 348 Check Updates for Windows Live Toolbar.job
2 Datei(en) 744 Bytes
2 Verzeichnis(se), 9.318.989.824 Bytes frei

15.01.2008, 21:58

Pinguin

Ehrenmitglied

Beiträge: 1441

#6 1.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Service Hosts (ServiceHost)

2.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

Zitat

sc delete Service Hosts

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
--------------

Zitat

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"services32"=-
"roof"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEHOST]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEHOST\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServiceHost]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEHOST]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEHOST\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ServiceHost]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SERVICEHOST\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ServiceHost]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceHost]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEHOST]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEHOST\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceHost]

File::
C:\WINDOWS\System32\lnaccess.exe
C:\WINDOWS\System32\guxxa.dll
C:\WINDOWS\shost.exe
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\fla23.tmp

Folder::
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
C:\WINDOWS\Downloaded Program Files\CONFLICT.2
C:\Programme\Gemeinsame Dateien\roof
C:\Dokumente und Einstellungen\David\Anwendungsdaten\FunWebProducts
C:\Programme\Gemeinsame Dateien\Totem Shared

und mit der rechten Maustaste auf das Symbol von Combofix ziehen

wende combofix noch mal an - tippe 1 - poste das neue log
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

15.01.2008, 22:12

Elli-Chan

...neu hier

Themenstarter

Beiträge: 6

#7 ComboFix 08-01-15.4 - David 2008-01-15 22:08:45.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.365 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\David\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\David\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
C:\WINDOWS\shost.exe
C:\WINDOWS\System32\guxxa.dll
.
/wow section - STAGE 3

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\David\Anwendungsdaten\FunWebProducts
C:\Programme\Gemeinsame Dateien\Totem Shared
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Advertising.dll.047
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Bpk.dll.124
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Distribution.dll.045
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\FavoriteLinks.dll.061
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\msvcr70.dll.010
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Network.dll.059
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Newsletters.dll.017
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\ScreenSaver2.dll.015
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\System.dll.085
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\TotemDx.dll.015
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Update.dll.063
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\Windows.dll.072
C:\Programme\Gemeinsame Dateien\Totem Shared\Update\WindowsEx.dll.041

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-15 20:49 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 14:57 . 2008-01-15 14:57 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\skypePM
2008-01-15 14:57 . 2008-01-15 14:57 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-15 14:42 . 2008-01-15 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\Skype
2008-01-15 14:41 . 2008-01-15 14:41 <DIR> d-------- C:\Programme\Skype
2008-01-15 14:41 . 2008-01-15 14:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-01-15 14:41 . 2008-01-15 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-14 21:33 . 2008-01-14 21:33 <DIR> d-------- C:\!KillBox
2008-01-14 21:18 . 2007-12-26 21:25 1,000 --a------ C:\datFind.bat
2008-01-14 20:50 . 2007-06-03 18:31 352,768 --a------ C:\regsearch.exe
2008-01-06 15:17 . 2008-01-06 15:17 <DIR> d-------- C:\Programme\DAEMON Tools
2008-01-04 17:07 . 2008-01-04 17:07 3,507 --a------ C:\WINDOWS\ST5UNST.001
2008-01-04 17:06 . 2008-01-04 17:06 <DIR> d-------- C:\WINDOWS\system32\OCON3D
2008-01-04 17:06 . 2008-01-04 17:06 3,617 --a------ C:\WINDOWS\ST5UNST.000
2008-01-04 00:12 . 2008-01-04 00:12 268 --ah----- C:\sqmdata19.sqm
2008-01-04 00:12 . 2008-01-04 00:12 244 --ah----- C:\sqmnoopt19.sqm
2008-01-03 19:25 . 2008-01-03 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\ASCON Installer
2008-01-03 19:25 . 2008-01-03 19:25 120,320 --a------ C:\WINDOWS\system32\czip.ocx
2008-01-03 19:25 . 2008-01-03 19:25 29,696 --a------ C:\WINDOWS\system32\sfx32.dll
2008-01-03 17:45 . 2008-01-03 17:45 268 --ah----- C:\sqmdata18.sqm
2008-01-03 17:45 . 2008-01-03 17:45 244 --ah----- C:\sqmnoopt18.sqm
2007-12-19 13:43 . 2007-12-19 13:43 268 --ah----- C:\sqmdata17.sqm
2007-12-19 13:43 . 2007-12-19 13:43 244 --ah----- C:\sqmnoopt17.sqm
2007-12-18 23:13 . 2007-12-18 23:13 268 --ah----- C:\sqmdata16.sqm
2007-12-18 23:13 . 2007-12-18 23:13 244 --ah----- C:\sqmnoopt16.sqm
2007-12-18 22:19 . 2007-12-18 22:19 268 --ah----- C:\sqmdata15.sqm
2007-12-18 22:19 . 2007-12-18 22:19 244 --ah----- C:\sqmnoopt15.sqm
2007-12-18 20:30 . 2007-12-18 20:30 268 --ah----- C:\sqmdata14.sqm
2007-12-18 20:30 . 2007-12-18 20:30 244 --ah----- C:\sqmnoopt14.sqm
2007-12-18 14:49 . 2007-12-18 14:49 268 --ah----- C:\sqmdata13.sqm
2007-12-18 14:49 . 2007-12-18 14:49 244 --ah----- C:\sqmnoopt13.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-15 16:17 2,921,472 ------w C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-01-15 16:17 1,678,336 ------w C:\WINDOWS\Internet Logs\xDB40.tmp
2008-01-14 14:25 414,208 ------w C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-01-14 14:25 1,663,488 ------w C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-01-13 18:07 1,832,448 ------w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-01-13 18:07 1,660,928 ------w C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-01-11 19:03 2,915,328 ------w C:\WINDOWS\Internet Logs\xDB39.tmp
2008-01-11 19:03 1,652,736 ------w C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-01-08 19:37 1,643,520 ------w C:\WINDOWS\Internet Logs\xDB38.tmp
2008-01-08 19:37 1,582,592 ------w C:\WINDOWS\Internet Logs\xDB37.tmp
2008-01-07 19:17 97,280 ------w C:\WINDOWS\Internet Logs\xDB36.tmp
2008-01-07 15:33 355,840 ------w C:\WINDOWS\Internet Logs\xDB34.tmp
2008-01-07 15:33 1,640,960 ------w C:\WINDOWS\Internet Logs\xDB35.tmp
2008-01-07 01:27 1,640,448 ------w C:\WINDOWS\Internet Logs\xDB33.tmp
2008-01-07 01:27 1,419,264 ------w C:\WINDOWS\Internet Logs\xDB32.tmp
2008-01-04 11:59 64,512 ------w C:\WINDOWS\Internet Logs\xDB31.tmp
2008-01-04 02:12 269,824 ------w C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-01-04 02:12 1,636,352 ------w C:\WINDOWS\Internet Logs\xDB30.tmp
2008-01-03 16:44 5,012,906 ------w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-12-30 09:20 88,576 ------w C:\WINDOWS\Internet Logs\xDB2D.tmp
2007-12-30 09:20 1,626,112 ------w C:\WINDOWS\Internet Logs\xDB2E.tmp
2007-12-26 21:42 319,488 ------w C:\WINDOWS\Internet Logs\xDB2B.tmp
2007-12-26 21:42 1,622,528 ------w C:\WINDOWS\Internet Logs\xDB2C.tmp
2007-12-25 21:14 1,617,920 ------w C:\WINDOWS\Internet Logs\xDB2A.tmp
2007-12-25 21:14 1,136,128 ------w C:\WINDOWS\Internet Logs\xDB29.tmp
2007-12-20 21:20 2,167,808 ------w C:\WINDOWS\Internet Logs\xDB27.tmp
2007-12-20 21:20 1,615,360 ------w C:\WINDOWS\Internet Logs\xDB28.tmp
2007-12-18 17:33 723,456 ------w C:\WINDOWS\Internet Logs\xDB26.tmp
2007-12-16 00:55 345,600 ------w C:\WINDOWS\Internet Logs\xDB25.tmp
2007-12-15 00:56 2,894,848 ------w C:\WINDOWS\Internet Logs\xDB23.tmp
2007-12-15 00:56 1,588,224 ------w C:\WINDOWS\Internet Logs\xDB24.tmp
2007-12-09 16:20 2,808,832 ------w C:\WINDOWS\Internet Logs\xDB21.tmp
2007-12-09 16:20 1,571,328 ------w C:\WINDOWS\Internet Logs\xDB22.tmp
2007-12-05 20:22 870,912 ------w C:\WINDOWS\Internet Logs\xDB1F.tmp
2007-12-05 20:22 1,565,184 ------w C:\WINDOWS\Internet Logs\xDB20.tmp
2007-12-04 22:14 2,717,184 ------w C:\WINDOWS\Internet Logs\xDB1E.tmp
2007-11-30 20:12 664,576 ------w C:\WINDOWS\Internet Logs\xDB1C.tmp
2007-11-30 20:12 1,558,528 ------w C:\WINDOWS\Internet Logs\xDB1D.tmp
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-11-28 16:32 1,081,344 ------w C:\WINDOWS\Internet Logs\xDB1B.tmp
2007-11-27 18:00 1,543,168 ------w C:\WINDOWS\Internet Logs\xDB1A.tmp
2007-11-27 18:00 1,019,904 ------w C:\WINDOWS\Internet Logs\xDB19.tmp
2007-11-25 21:27 406,528 ------w C:\WINDOWS\Internet Logs\xDB17.tmp
2007-11-25 21:27 1,537,536 ------w C:\WINDOWS\Internet Logs\xDB18.tmp
2007-11-25 17:29 741,376 ------w C:\WINDOWS\Internet Logs\xDB15.tmp
2007-11-25 17:29 1,537,024 ------w C:\WINDOWS\Internet Logs\xDB16.tmp
2007-11-24 23:00 2,816,000 ------w C:\WINDOWS\Internet Logs\xDB13.tmp
2007-11-24 23:00 1,534,976 ------w C:\WINDOWS\Internet Logs\xDB14.tmp
2007-11-18 21:18 182,272 ------w C:\WINDOWS\Internet Logs\xDB11.tmp
2007-11-18 21:18 1,516,544 ------w C:\WINDOWS\Internet Logs\xDB12.tmp
2007-11-18 15:24 113,152 ------w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-11-18 00:31 2,688,512 ------w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-11-04 01:25 1,725,440 ------w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-11-04 01:25 1,414,656 ------w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-10-28 10:31 189,440 ------w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-10-28 10:31 1,392,640 ------w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-10-27 22:32 18,432 --sha-w C:\Programme\Thumbs.db
2007-10-27 17:12 47,104 ------w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-10-27 14:26 570,880 ------w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-10-27 14:26 1,385,472 ------w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-10-24 18:41 219,648 ------w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-10-24 18:41 1,353,216 ------w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-10-23 20:44 234,496 ------w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-23 19:16 1,350,144 ------w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-10-22 15:57 37,888 ------w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-10-21 21:08 516,096 ------w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-10-21 21:08 1,346,048 ------w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-10-20 23:00 64,423 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_51_55_small.dmp.zip
2007-10-20 23:00 61,143 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_52_00_small.dmp.zip
2007-10-20 22:23 80,781 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_11_52_small.dmp.zip
2007-10-20 22:23 64,735 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_23_10_13_small.dmp.zip
2007-10-20 22:07 67,681 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_10_20_22_59_31_small.dmp.zip
2007-05-24 18:39 64,456 ----a-w C:\Dokumente und Einstellungen\David\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-23 01:50 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-08-23 01:50 56 --sh--r C:\WINDOWS\system32\E41A014BCF.sys
2005-07-29 15:24 472 --sha-r C:\WINDOWS\RGF2aWQ\l3IZuqk.vbs
.

((((((((((((((((((((((((((((( snapshot@2008-01-15_20.55.19.24 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-15 19:49:28 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-15 21:08:40 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-15 19:49:28 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-15 21:08:40 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-15 19:49:28 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-15 21:08:40 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-15 19:49:28 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-15 21:08:40 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-15 19:49:28 5,890,048 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-15 21:08:40 5,890,048 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-15 19:49:28 176,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-15 21:08:40 176,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
- 2008-01-15 19:41:34 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2008-01-15 19:57:38 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 15:20 21686568]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-10-06 14:16 741376 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"RAM_DEFRAG"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 15:46 249896]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 14:16 5058560]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"Ad-Watch"="C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe" [ ]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-04 20:59 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 12:00 13312]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pnpsvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MDM"=2 (0x2)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2007-09-21 14:37]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-09-21 14:37]
R2 ithsgt;ithsgt;C:\WINDOWS\System32\DRIVERS\ithsgt.sys [2005-11-09 17:54]
R2 lilsgt;lilsgt;C:\WINDOWS\System32\DRIVERS\lilsgt.sys [2005-11-09 17:54]
R2 TmpUpSrv;AntiVir Update Temp;"C:\DOKUME~1\DAVID\LOKALE~1\TEMP\_VWUPSRV.EXE" [2004-08-17 13:01]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
R3 Tetris;Tetris driver;C:\WINDOWS\System32\Drivers\Tetris.sys [2005-11-09 18:47]
S2 pnpsvc;Plug and Play svc service;C:\WINDOWS\system32\svchost.exe [2001-08-18 12:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
pnpsvc
Ò

.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:15:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
"2008-01-15 20:19:02 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 22:11:27
Windows 5.1.2600 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 22:12:01
ComboFix-quarantined-files.txt 2008-01-15 21:12:00
ComboFix2.txt 2008-01-15 19:55:32

15.01.2008, 22:39

Pinguin

Ehrenmitglied

Beiträge: 1441

#8 lade avz (ist von ner russischen seite)
http://www.virus-protect.org/artikel/tools/avz.html
scanne + poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

15.01.2008, 22:50

Elli-Chan

...neu hier

Themenstarter

Beiträge: 6

#9 AVZ Antiviral Toolkit log; AVZ version is 4.29
Scanning started at 15.01.2008 22:48:28
Database loaded: signatures - 145398, NN profile(s) - 2, microprograms of healing - 55, signature database released 15.01.2008 19:47
Heuristic microprograms loaded: 371
SPV microprograms loaded: 9
Digital signatures of system files loaded: 68572
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, ; AVZ is launched with administrator rights
System Recovery: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=074C00)
Kernel ntoskrnl.exe found in memory at address 804D0000
SDT = 80544C00
KiST = 804FC624 (284)
Function NtConnectPort (1F) intercepted (80565287->F59F1EB0), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtCreateFile (25) intercepted (80578EDF->F59EE870), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtCreateKey (29) intercepted (80563030->F59F9700), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtCreatePort (2E) intercepted (80551DBE->F59F2270), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtCreateProcess (2F) intercepted (8059A61D->F59F8500), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtCreateProcessEx (30) intercepted (80580346->F59F8730), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtCreateSection (32) intercepted (805711D5->F59FC090), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtCreateWaitablePort (38) intercepted (805A4ECA->F59F2350), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtDeleteFile (3E) intercepted (805A4DF4->F59EEEF0), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtDeleteKey (3F) intercepted (80563D14->F59FA720), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtDeleteValueKey (41) intercepted (80563631->F59FA360), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtDuplicateObject (44) intercepted (80582614->F59F8270), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtEnumerateKey (47) intercepted (8056A5DC->F7443C7E), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtEnumerateValueKey (49) intercepted (80564A47->F7443FF6), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtLoadKey (62) intercepted (8059F701->F59FAA60), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtOpenFile (74) intercepted (80576449->F59EED40), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtOpenKey (77) intercepted (80573055->F7443A18), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtOpenProcess (7A) intercepted (80566E3A->F59F7FC0), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtOpenThread (80) intercepted (805563F7->F59F7DE0), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtQueryKey (A0) intercepted (8055B86B->F74440C0), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtQueryValueKey (B1) intercepted (80575D81->F7443F58), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtRenameKey (C0) intercepted (80620E01->F59FB1D0), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtReplaceKey (C1) intercepted (806211DF->F59FAD50), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtRequestWaitReplyPort (C8) intercepted (80583120->F59F1B50), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtRestoreKey (CC) intercepted (806200E0->F59FB000), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtSecureConnectPort (D2) intercepted (8057B7A2->F59F2060), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtSetInformationFile (E0) intercepted (8058181D->F59EF060), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtSetValueKey (F7) intercepted (80563215->F59F9ED7), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Function NtTerminateProcess (101) intercepted (8056C6DC->F59F8960), hook C:\WINDOWS\System32\vsdatant.sys, driver recognized as trusted
Functions checked: 284, intercepted: 29, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: the extended monitoring driver (AVZPM) is not installed
2. Scanning memory
Number of processes found: 34
Number of modules loaded: 457
Memory checking - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
>>> C:\WINDOWS\banner.dll HSC: suspicion for AdvWare.Banex.a
>>> C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll HSC: suspicion for AdvWare.Minibug (high degree of probability)
Checking complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed TermService (Terminaldienste)
>> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed Alerter (Warndienst)
>> Services: potentially dangerous service allowed Schedule (Taskplaner)
>> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>>> Security: Internet Explorer allows ActiveX, not marked as safe
>>> Security: Internet Explorer allows automatic queries of ActiveX administrative elements
>> Security: sending Remote Assistant queries is enabled
Checking complete
9. Troubleshooting wizard
>> Internet Explorer - ActiveX, not marked as safe, are allowed
>> Internet Explorer - automatic queries of ActiveX operating elements are allowed
>> Thaw-maut end of services is outside of admissible values
Checking complete
Files scanned: 491, extracted from archives: 0, malicious programs found 0, suspicions - 0
Scanning finished at 15.01.2008 22:49:32
Time of scanning: 00:01:07
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

15.01.2008, 23:28

Pinguin

Ehrenmitglied

Beiträge: 1441

#10 ««
lade die dll hoch und poste den Report ( die dll kannst du von hier aus einkopieren)
http://www.virustotal.com/de/

C:\WINDOWS\banner.dll
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

15.01.2008, 23:39

Elli-Chan

...neu hier

Themenstarter

Beiträge: 6

#11 Ergebnis: 23/32 (71.88%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.16.10 2008.01.15 -
AntiVir 7.6.0.48 2008.01.15 ADSPY/Banex.A
Authentium 4.93.8 2008.01.15 -
Avast 4.7.1098.0 2008.01.15 Win32:Spyware-gen
AVG 7.5.0.516 2008.01.15 Adware Generic.AOZ
BitDefender 7.2 2008.01.15 Adware.Banners.B
CAT-QuickHeal 9.00 2008.01.15 AdWare.Banex.a (Not a Virus)
ClamAV 0.91.2 2008.01.15 -
DrWeb 4.44.0.09170 2008.01.15 Adware.Banners
eSafe 7.0.15.0 2008.01.15 Spyware.BetterIntern
eTrust-Vet 31.3.5459 2008.01.15 -
Ewido 4.0 2008.01.15 Adware.Banex
FileAdvisor 1 2008.01.15 -
Fortinet 3.14.0.0 2008.01.15 Adware/BetterInternet
F-Prot 4.4.2.54 2008.01.15 W32/Adware.OBO
F-Secure 6.70.13030.0 2008.01.15 -
Ikarus T3.1.1.20 2008.01.15 not-a-virus:AdWare.Win32.Banex.a
Kaspersky 7.0.0.125 2008.01.15 not-a-virus:AdWare.Win32.Banex.a
McAfee 5208 2008.01.15 potentially unwanted program Adware-abetterintrnt
Microsoft 1.3109 2008.01.15 Adware:Win32/ABetterInternet.A
NOD32v2 2794 2008.01.15 -
Norman 5.80.02 2008.01.15 W32/Banex.A
Panda 9.0.0.4 2008.01.15 Spyware/BetterInet
Prevx1 V2 2008.01.15 ADWARE.BANNERS.B
Rising 20.27.12.00 2008.01.15 -
Sophos 4.24.0 2008.01.15 -
Sunbelt 2.2.907.0 2008.01.15 ABetterInternet
Symantec 10 2008.01.15 Adware.BetterInternet
TheHacker 6.2.9.187 2008.01.13 Adware/Banex.a
VBA32 3.12.2.5 2008.01.15 AdWare.Banex.a
VirusBuster 4.3.26:9 2008.01.15 Adware.Banex.A
Webwasher-Gateway 6.6.2 2008.01.15 Ad-Spyware.Banex.A
weitere Informationen
File size: 90112 bytes
MD5: 3f74f02fe105da4f3272f653bc639052
SHA1: 9b0ec7f0d260e0c864b8db884adc6ddaac10c73d
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=53922E56006457F9608401AB0AE18E008405EB11
Sunbelt info: ABetterInternet shows advertisements based on the web pages you view and the web sites you visit.

bei software gibt es kein instant access mehr im verzeihnis

16.01.2008, 10:48

Pinguin

Ehrenmitglied

Beiträge: 1441

#12 Elli-Chan

««
erstelle wieder die txt-Datei, ziehe auf Combofix + tippe wieder 1.

Zitat

File::
C:\WINDOWS\banner.dll

Folder::
C:\Programme\Gemeinsame Dateien\Real\WeatherBug

»»
Lade norman (sdfix klicken im Normalmodus)
http://www.virus-protect.org/artikel/tools/sdfix.html

reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

poste den Report

_______

du musst unbedingt die Windows-Updates machen , und die IE-Version ist total veraltet...

Der Rechner wird im Handumdrehen wieder verseucht sein, wenn du dich nicht um die Updates kümmerst...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

11.05.2008, 13:14

Tony Montana

...neu hier

Beiträge: 1

#13 Hallo Leute,
hab auch das problem mit Instant Access.
Habe mich schon ein wenig im forum umgesehen und ein log von Hijack erstellt
und habe gedacht ich poste es mal. Ich bitte um eure Hilfe ich habe keine Ahnung wie ich es löschen kann.

Hier der log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:32, on 11.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S8A.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" dm=http://festplattenreiniger.com ad=http://festplattenreiniger.com sd=http://pkins.festplattenreiniger.com
O4 - HKLM\..\Run: [bm] "C:\Programme\Gemeinsame Dateien\SichererSchutz\bm.exe" dm=http://sichererschutz.com ad=http://sichererschutz.com sd=http://amesser.sichererschutz.com
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [6c929312] rundll32.exe "C:\WINDOWS\system32\exqxtbke.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res
O4 - HKCU\..\Run: [MalwareAlarm] C:\Program Files\MalwareAlarm\MalwareAlarm.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C717E85-6359-46E0-9DFC-CD2DD8354639}: NameServer = 217.237.150.51 217.237.148.22
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

11.05.2008, 14:43

Sabina

Ehrenmitglied

Beiträge: 29434

#14 Hallo Tony Montana

1.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\system32\exqxtbke.dll
C:\Windows\xpupdate.exe
C:\Program Files\MalwareAlarm
C:\Programme\Gemeinsame Dateien\FestplattenReiniger
C:\WINDOWS\system32\nsinet.exe

Klicke auf den Roten MoveIt!

2.
wende cleaner an und lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

3.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" dm=http://festplattenreiniger.com ad=http://festplattenreiniger.com sd=http://pkins.festplattenreiniger.com

O4 - HKLM\..\Run: [bm] "C:\Programme\Gemeinsame Dateien\SichererSchutz\bm.exe" dm=http://sichererschutz.com ad=http://sichererschutz.com sd=http://amesser.sichererschutz.com

O4 - HKLM\..\Run: [6c929312] rundll32.exe "C:\WINDOWS\system32\exqxtbke.dll",b

O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res

O4 - HKCU\..\Run: [MalwareAlarm] C:\Program Files\MalwareAlarm\MalwareAlarm.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

4.
PC neustarten

5.
wende Combofix an - klicke die Warnmeldung weg + poste hier den kompletten Report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

01.06.2008, 17:01

Merdo00

...neu hier

Beiträge: 1

#15 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:06, on 01.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\VIRUSfighter\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\WebCam\M1000\M1000Mnt.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\VIRUSfighter\bin\ZLH.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\VIRUSfighter\bin\NJEEVES.EXE
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\nsinet.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: 209789 helper - {5C78E2DB-5AFC-4A3B-9B9F-6AF136562E6F} - C:\WINDOWS\system32\209789\209789.dll (file missing)
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [uwa6pcw] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\uwa6pcw.exe" -c
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AntiSpywareShield] C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - Startup: IMVU.lnk = C:\Programme\IMVU\IMVUClient.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Dokumente und Einstellungen\Mert\Eigene Dateien\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Dokumente und Einstellungen\Mert\Eigene Dateien\Titan Poker\casino.exe (file missing)
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mert\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163951102328
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/obj/NpFv415.dll
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75846E99-EA6E-47F4-9897-6A89D717D07D}: NameServer = 194.8.194.60 213.168.112.60
O22 - SharedTaskScheduler: enviva - {f43bfc6c-47cc-4798-8798-a0721b8ed7ab} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

--
End of file - 10777 bytes

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

»
»
»
» Instant Access etc....
» "Instant Access" auf dem PC Was ist das und wie geht das weg?

Seite(n): 1 2 3 4