Blinken in der Startleiste ??

#0
23.04.2008, 19:55
Member

Beiträge: 14
#1 Hallo,

ich hab ein problem bei mir blinkt unten ein zeichen auf (system alert) das zeichen ändert sich immer vom einem X in ein ? ......ich hab auch schon ein bisschen gegooglet da hab ich was gelesen mit Hijackthis weg machen ?? aber wenn ich es runter lade und installieren will kommt nur msvbvm60.dll nicht gefunden oder sowas ich hab voll kein plan was ich jetzt noch machen soll ????? wisst ihr noch was !??
Seitenanfang Seitenende
23.04.2008, 21:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
24.04.2008, 13:57
Member

Themenstarter

Beiträge: 14
#3 da steht das es nur für Windows 2000; Windows 95; Windows 98; Windows ME; Windows NT ist und ich hab Xp Sp1
Seitenanfang Seitenende
24.04.2008, 14:25
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
24.04.2008, 18:59
Member

Themenstarter

Beiträge: 14
#5 sorry das ich scon wider nerven muss aber ich will nix falsch machen hier sind 2 verschiedene logs einmal mit hijackthis und einmal mit combofix....hoff das hilft weiter.....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:49:56, on 24.04.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lock My PC 4\LmpcServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lock My PC 4\lockpc.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Opera\Opera.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll (file missing)
O2 - BHO: 814810 helper - {DC59D6DA-7CDE-4874-9F97-41C82C177069} - C:\WINDOWS\System32\814810\814810.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AD-Watch] C:\\Programme\\Lavasoft\\Ad-Aware SE Professional\\Ad-Watch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [C:\Programme\Logitech\iTouch\iTouch.exe] C:\\Programme\\Logitech\\iTouch\\iTouch.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189295371828
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: fsp_lmwl - C:\WINDOWS\SYSTEM32\fsp_lmwl.dll
O22 - SharedTaskScheduler: garcea - {eb9f614b-ea44-40d0-8829-542e4f254739} - C:\WINDOWS\System32\rkaxfza.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: Lock My PC Service (LmpcService) - Unknown owner - C:\Programme\Lock My PC 4\LmpcServ.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6412 bytes

-------------COMBO FIX-------------


ComboFix 08-04-22.5 - mO 2008-04-24 18:53:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.688 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\mO\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\HbTools.log
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\ads.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\btntrans.idx
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\btntrans1.dat
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\business_promo.htm
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\buttondir.txt
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\components.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_1000.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_2000.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_3000.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bar.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bbar1.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_logos.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_other.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_weather.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\default.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_hotbarcom.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_Mails.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\email-def-511724-548964.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\email-def-511724-9595.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\email-t1-bg.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\hotbar-premium-hotbar-premium.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\hotbar-premium.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\hotbar_promo.htm
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\icons2.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\keywords.idx
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\keywords1.dat
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\layout.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\linkpathlegal.txt
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\progress.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\s_icons_buttons.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\sales_buttons.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\t2_bg.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\theweb.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\top7.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Top7_theweb.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\tsd_bg.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\ads.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\btntrans.idx
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\btntrans1.dat
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\business_promo.htm
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\buttondir.txt
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\components.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_buttons_1000.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_buttons_2000.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_buttons_3000.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_buttons_bar.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_buttons_bbar1.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_buttons_logos.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_buttons_other.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\d_icons_weather.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\default.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\Default_hotbarcom.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\Default_Mails.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\email-def-511724-548964.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\email-def-511724-9595.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\email-t1-bg.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\hotbar-premium-hotbar-premium.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\hotbar-premium.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\hotbar_promo.htm
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\icons2.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\keywords.idx
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\keywords1.dat
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\layout.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\linkpathlegal.txt
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\progress.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\s_icons_buttons.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\sales_buttons.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\t2_bg.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\theweb.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\top7.cdf
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\Top7_theweb.mnu
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\tsd_bg.res
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\ads.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\BtnTrans.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\BtnTrans1.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\business_promo.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\buttondir.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_1000.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_2000.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_3000.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_bar.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_bbar1.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_logos.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_other.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_weather.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\default.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\email-t1-bg.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\hotbar-premium.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\hotbar_promo.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\icons2.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\keywords.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\keywords1.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\layout.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\linkpathlegal.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\progress.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\s_icons_buttons.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\sales_buttons.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\samplegroups2.txt
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\samplegroups2.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\t2_bg.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\top7.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\tsd_bg.xip
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools_Icons
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools_Icons\Registryrepair.ico
C:\Dokumente und Einstellungen\mO\Anwendungsdaten\HbTools_Icons\wallpapere1.ico
C:\Dokumente und Einstellungen\mO\Favoriten\Online Security Test.url
C:\WINDOWS\server.exe
C:\WINDOWS\system32\814810\814810.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 18:48 . 2008-04-24 18:49 <DIR> d-------- C:\WINDOWS\LastGood
2008-04-23 19:44 . 2008-04-23 19:44 <DIR> d-------- C:\Programme\Trend Micro
2008-04-23 19:15 . 2008-04-24 18:54 <DIR> d-------- C:\WINDOWS\system32\814810
2008-04-20 14:56 . 2008-04-06 01:13 5,171,295 --a------ C:\WINDOWS\CASELY - First Glance (2007) [www.RnB4U.dl.am].mp3
2008-04-20 14:56 . 2008-03-20 22:58 4,678,699 --a------ C:\WINDOWS\Casely - Heart In The Shade.mp3
2008-04-20 14:56 . 2008-04-06 01:09 4,526,438 --a------ C:\WINDOWS\Casely - Paralyzed (2007) [www.RnB4U.in].mp3
2008-04-18 20:20 . 2008-04-18 20:51 <DIR> d-------- C:\Programme\Avira
2008-04-18 20:20 . 2008-04-18 20:20 2 --a------ C:\WINDOWS\system32\LOGFILES
2008-04-18 19:35 . 2008-04-18 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-14 20:45 . 2008-04-14 20:45 10,240 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-31 20:06 . 2008-04-23 21:15 4,958,588 --a------ C:\WINDOWS\{00000000-00000000-00000009-00001102-00000004-20021102}.BAK

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-23 17:17 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-20 15:46 --------- d-----w C:\Programme\Everest Poker
2008-04-18 18:51 13,312 --s-a-w C:\WINDOWS\system32\rkaxfza.dll
2008-04-14 18:45 --------- d-----w C:\Programme\DivX
2008-04-09 17:04 --------- d-----w C:\Programme\Opera
2008-03-30 16:12 --------- d-----w C:\Programme\Codec Pack - All In 1
2008-03-16 14:58 --------- d-----w C:\Programme\Java
2006-05-06 16:42 7,260,160 ----a-w C:\Programme\mozilla firefox\plugins\libvlc.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= "C:\Programme\NetProject\wamdl.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\Programme\Logitech\iTouch\iTouch.exe"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe" [2004-03-18 10:33 892928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2005-12-08 12:06 16384 C:\WINDOWS\CTHELPER.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"AD-Watch"="C:\\Programme\\Lavasoft\\Ad-Aware SE Professional\\Ad-Watch.exe" [2005-05-25 12:12 517632]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{eb9f614b-ea44-40d0-8829-542e4f254739}"= C:\WINDOWS\System32\rkaxfza.dll [2008-04-18 20:51 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fsp_lmwl]
fsp_lmwl.dll 2007-02-21 21:21 43376 C:\WINDOWS\system32\fsp_lmwl.dll

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\System32\drivers\sfsync03.sys [2005-12-06 17:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 LmpcService;Lock My PC Service;C:\Programme\Lock My PC 4\LmpcServ.exe [2007-03-18 12:51]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2001-08-18 21:00]
R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\System32\Drivers\LCcFltr.Sys [2004-03-03 10:50]
R3 LMPC4;LMPC4;C:\WINDOWS\System32\drivers\LMPC4.sys [2007-02-21 21:21]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-12-28 19:05]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{21D41D1D-E06B-459C-0000-050701000106}]
C:\WINDOWS\Msdos.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:18:04 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 18:54:44
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\Programme\\Logitech\\iTouch\\iTouch.exe"="C:\\\\Programme\\\\Logitech\\\\iTouch\\\\iTouch.exe"
.
Zeit der Fertigstellung: 2008-04-24 18:55:09
ComboFix-quarantined-files.txt 2008-04-24 16:55:04

9 Verzeichnis(se), 3,674,120,192 Bytes frei
11 Verzeichnis(se), 3,937,542,144 Bytes frei

202 --- E O F --- 2007-09-09 00:01:19
Seitenanfang Seitenende
24.04.2008, 19:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Ad-Watch
Deaktiviere Ad-Watch
1.Rechtermausklick auf dem Ad-Watch icon im Taskmanager und waehle "Restore Ad-Watch".
2.Ganz unten stehen zweie anwaehlbare Items mit namen "Active" und "Automatic".
Entferne bei beiden den roten X

Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll (file missing)
O2 - BHO: 814810 helper - {DC59D6DA-7CDE-4874-9F97-41C82C177069} - C:\WINDOWS\System32\814810\814810.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O22 - SharedTaskScheduler: garcea - {eb9f614b-ea44-40d0-8829-542e4f254739} - C:\WINDOWS\System32\rkaxfza.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Rechner neu Starten

Smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen

Du wirst dann gefragt: Do you want to clean the registry? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen.
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

Wenn dein rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus
Kopiere den Inhalt des Berichts in diesen Thread (C:\rapport.txt )

Malwarebytes Anti-Malware
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

Poste nochmal ein log von ComboFix und Hijack This
__________
MfG Argus
Seitenanfang Seitenende
25.04.2008, 13:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo,

Das Fixen mit hijackThis + die Anwendung von smitfraudfix und Malwarebytes wird einen Teil der Viren rausholen.
Allerdings solltest du mal bitte noch folgendes machen:

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\Msdos.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

---

dann poste bitte auch nach Anwendung aller Proggies ein neues Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.04.2008, 19:09
Member

Themenstarter

Beiträge: 14
#8 @ Arnold erstmal Danke aber wenn ich das mach was du geschrieben hast kommt bei mir was ganz anderes !? [Ad-Watch
Deaktiviere Ad-Watch
1.Rechtermausklick auf dem Ad-Watch icon im Taskmanager und waehle "Restore Ad-Watch".
2.Ganz unten stehen zweie anwaehlbare Items mit namen "Active" und "Automatic".
Entferne bei beiden den roten X] bei mir kommt nur "Wechseln zu" , "Im Vordergrund" ....usw. aber nicht das was du geposte hast oder mach ich was falsch ?? und @ Sabrina auch ein Danke an dich aber ich hab kein wort verstanden ?? ich bin nicht so der Computer Profi. was hast du mit Datei aussuchen gemeint ? welche datei ich weis ja nicht was der virus is und wenn ichs wüsst würd ich ihn ja löschen !
Seitenanfang Seitenende
25.04.2008, 19:46
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Tag,Blacky1
Ad-Watch verhindert das sauber machen deines Rechners
Dan muss ich davon ausgehen das du selber weisst wie Ad-Watch deaktiviert werden kann ;)
__________
MfG Argus
Seitenanfang Seitenende
25.04.2008, 21:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 hallo,

das Schadpropgramm bekommst du erst mal raus, wenn du smitfraudfix (Option 2) laufen lässt und vorher die Einträge mit hijackThis fixt, so wie von Arnold angegeben ;)

dann scannst du noch mit malwarebytes und postest hier den report.
Dann sehen wir weiter, wegen der C:\WINDOWS\Msdos.exe - ich will, dass du sie per virus-total prüfen lässt, mehr nicht.
Aber wie gesagt, arbeite erst aml alles ab, was Arnold geschrieben hat ;)
----------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.04.2008, 19:52
Member

Themenstarter

Beiträge: 14
#11 Also ich hab mit hijackthis fix checked durchgeführt aber ein paar dateien waren in der liste nicht vorhanden ( O2 - BHO: 814810 helper - {DC59D6DA-7CDE-4874-9F97-41C82C177069} - C:\WINDOWS\System32\814810\814810.dll, O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file), O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe, O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
, ich hab aber bevor ich den beitrag hier gepostet hab ein ordner gelöscht namens Net Projekt weil ich den nicht kannte und ich gedacht hab das ist vielleicht der virus..was es ja uch ist.. ) ,dann hab ich mit smitfraudfix die registry gecleant und jetzt ist das herrausgekommen .....
SmitFraudFix v2.319

Scan done at 19:24:12,39, 28.04.2008
Run from C:\Dokumente und Einstellungen\mO\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B929EB7-6BA7-4310-AC98-E7B381C3EBE4}: DhcpNameServer=85.216.127.130 82.212.63.118
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B929EB7-6BA7-4310-AC98-E7B381C3EBE4}: DhcpNameServer=82.212.63.2 82.212.63.10
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B929EB7-6BA7-4310-AC98-E7B381C3EBE4}: DhcpNameServer=85.216.127.130 82.212.63.118
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B929EB7-6BA7-4310-AC98-E7B381C3EBE4}: DhcpNameServer=85.216.127.130 82.212.63.118
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.216.127.130 82.212.63.118
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.212.63.2 82.212.63.10
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.216.127.130 82.212.63.118


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

ich warte mal mit den anderen sachen bis ihr mir beschied gesagt habt....thx
Seitenanfang Seitenende
29.04.2008, 02:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 hallo,

0.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\system32\814810
C:\WINDOWS\system32\rkaxfza.dll
Klicke auf den Roten MoveIt!

------------------------------------------------------------------
1.
wende fixwareout an + poste nach neustart den report
http://virus-protect.org/artikel/tools/fixwareout.html

2,
wende an HostsXpert: - Anleitung + Download auf der Seite
http://virus-protect.org/host.html

3,
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\Msdos.exe


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2008, 19:27
Member

Themenstarter

Beiträge: 14
#13 war mir jetzt nicht sicher ob ich erst die schritte 0-3 ausführen soll und dann den report posten soll oder gleich nach schritt 1 (hab jetzt nach schritt 1 gepostet)

Username "mO" - 30.04.2008 19:16:37 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_05\\bin\\jusched.exe\""
"AD-Watch"="C:\\\\Programme\\\\Lavasoft\\\\Ad-Aware SE Professional\\\\Ad-Watch.exe"
"avgnt"="\"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\Programme\\Logitech\\iTouch\\iTouch.exe"="C:\\\\Programme\\\\Logitech\\\\iTouch\\\\iTouch.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Dieser Beitrag wurde am 30.04.2008 um 20:28 Uhr von Blacky1 editiert.
Seitenanfang Seitenende
30.04.2008, 19:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 o.k. nun arbeite die weiteren Punkte ab.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2008, 20:29
Member

Themenstarter

Beiträge: 14
#15 «
AVZ Antiviral Toolkit log; AVZ version is 4.30
http://virus-protect.org/artikel/tools/avz.html

Scanning started at 30.04.2008 20:07:10
Database loaded: signatures - 162051, NN profile(s) - 2, microprograms of healing - 55, signature database released 30.04.2008 08:56
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70774
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 1 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=076EC0)
Kernel TUKERNEL.EXE found in memory at address 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Function NtCreateKey (29) intercepted (8057AA2E->F742C0B0), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtCreateThread (35) intercepted (8058F00C->F7B7753C), hook not defined
Function NtEnumerateKey (47) intercepted (8057D323->F743184E), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtEnumerateValueKey (49) intercepted (8056A5F7->F7431BEE), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtOpenKey (77) intercepted (8058272F->F742C090), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtOpenProcess (7A) intercepted (80578115->F7B77528), hook not defined
Function NtOpenThread (80) intercepted (80570202->F7B7752D), hook not defined
Function NtQueryKey (A0) intercepted (80573460->F7431CC6), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtQueryValueKey (B1) intercepted (805833FB->F7431B46), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtSetValueKey (F7) intercepted (805722DC->F7431D58), hook C:\WINDOWS\System32\Drivers\sptd.sys
Function NtTerminateProcess (101) intercepted (80591C32->F7B77537), hook not defined
Function NtWriteVirtualMemory (115) intercepted (8058FF6C->F7B77532), hook not defined
Function IoEnumerateDeviceObjectList (804D4A1A) - machine code modification Method not defined., embedding from byte 15
Function IoGetLowerDeviceObject (804D4999) - machine code modification Method not defined., embedding from byte 5
Function IoInitializeIrp (804D483C) - machine code modification Method not defined., embedding from byte 6
Function KeInsertHeadQueue (804D47FF) - machine code modification Method not defined., embedding from byte 5
Functions checked: 284, intercepted: 12, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FD81D8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 86FD81D8 -> hook not defined
Checking - complete
2. Scanning memory
Number of processes found: 31
Number of modules loaded: 303
Scanning memory - complete

3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\mO\Lokale Einstellungen\Temp\~DFE228.tmp
C:\System Volume Information\_restore{4457FAB6-F1FE-4394-BB59-FB5F6A2ECB7E}\RP416\A0097487.dll >>>>> AdvWare.Win32.E404.ah deleted successfully
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
Direct reading C:\WINDOWS\system32\drivers\vaxscsi.sys
C:\WINDOWS\system32\fxltfzzj.exe >>>>> AdvWare.Win32.180Solutions.ay deleted successfully
C:\WINDOWS\system32\geomqpqy.exe >>> suspicion for AdvWare.Win32.HotBar.bw ( 00622AA7 00000000 0020A67A 0023C47D 253952)
File quarantined succesfully (C:\WINDOWS\system32\geomqpqy.exe)
C:\_OTMoveIt\MovedFiles\04302008_191544\WINDOWS\system32\rkaxfza.dll >>> suspicion for Hoax.Win32.Agent.by ( 0A0D80E9 0A39F75C 001736D5 000D09E1 13312)
File quarantined succesfully (C:\_OTMoveIt\MovedFiles\04302008_191544\WINDOWS\system32\rkaxfza.dll)

D:\-=[PSP]=-\Homebrew Games\Wer wird Millionär\PSPMillionaire\Custom\PSP Millioniaire Question Adder.exe >>> suspicion for Trojan.Win32.Rebooter.b ( 004849A7 0057C422 00132372 00080885 40960)
File quarantined succesfully (D:\-=[PSP]=-\Homebrew Games\Wer wird Millionär\PSPMillionaire\Custom\PSP Millioniaire Question Adder.exe)

D:\X\Neuer Ordner\Desktop.rar/{RAR}/DisConnect.exe >>> suspicion for Backdoor.Win32.VB.adj ( 0042AF54 00170123 000EE08C 000B864C 28672)
File quarantined succesfully (D:\X\Neuer Ordner\Desktop.rar)
Removing traces of deleted files...

4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\Lock My PC 4\lmpchdr.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Lock My PC 4\lmpchdr.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\Programme\Lock My PC 4\lmpchdr.dll)
C:\Programme\Lock My PC 4\LockLib.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Lock My PC 4\LockLib.dll>>> Behavioural analysis
1. Reacts to events: keyboard, mouse
C:\Programme\Lock My PC 4\LockLib.dll>>> Neural net: file with probability 99.91% like a typical keyboard/mouse events interceptor
File quarantined succesfully (C:\Programme\Lock My PC 4\LockLib.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete

8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete

9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 44026, extracted from archives: 19789, malicious software found 2, suspicions - 4
Scanning finished at 30.04.2008 20:16:25
Time of scanning: 00:09:15
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference


---------------------------------------------------------------------------

es stand zwar nicht da msdos,exe sondern nur msdos aber bei mir werden die kürzel hinten normalerweise angezeigt aber sonst gibts keine andere msdos datei in C:/WINDOWS/..

Datei Msdos empfangen 2008.04.30 20:33:38 (CET)
Status: Beendet
Ergebnis: 0/31 (0%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.1.0 2008.04.30 -
AntiVir 7.8.0.11 2008.04.30 -
Authentium 4.93.8 2008.04.30 -
Avast 4.8.1169.0 2008.04.30 -
AVG 7.5.0.516 2008.04.30 -
BitDefender 7.2 2008.04.30 -
CAT-QuickHeal 9.50 2008.04.30 -
ClamAV 0.92.1 2008.04.30 -
DrWeb 4.44.0.09170 2008.04.30 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5747 2008.04.30 -
Ewido 4.0 2008.04.30 -
F-Prot 4.4.2.54 2008.04.30 -
F-Secure 6.70.13260.0 2008.04.30 -
Fortinet 3.14.0.0 2008.04.30 -
Ikarus T3.1.1.26 2008.04.30 -
Kaspersky 7.0.0.125 2008.04.30 -
McAfee 5285 2008.04.30 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3067 2008.04.30 -
Norman 5.80.02 2008.04.30 -
Panda 9.0.0.4 2008.04.30 -
Prevx1 V2 2008.04.30 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.28.0 2008.04.30 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.30 -
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.30 -
VirusBuster 4.3.26:9 2008.04.30 -
Webwasher-Gateway 6.6.2 2008.04.30 -
weitere Informationen
File size: 111089 bytes
MD5...: ad7c39baebf0c5bb4097d93ebe0fe54d
SHA1..: 05f9c4c9fdce5431fb044a3df0de9f7d26731f27
SHA256: ff502c7ed7accfc64957273945cc0fc54022566f7a20df0fbb1b87e5bf95825f
SHA512: 63299d3e64295d1b81b049e8d26af66543a8a7763d05b1f5f543feb7ddeb56bb
00a0fdcf71a62dd3fc062b3cf7a2b5c93a5dc2284a1eb14acd616a0939958269
PEiD..: -
PEInfo: -
Dieser Beitrag wurde am 30.04.2008 um 20:44 Uhr von Blacky1 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: